Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Bezprzewodowe odzyskiwanie domyślnego hasła do WPA2 z routera UPC – seria podatności i komentarz rzecznika UPC Polska

06 lipca 2016, 20:10 | Aktualności | komentarzy 11

Interesujący wpis zatytułowany: UPC UBEE EVW3226 WPA2 Password Reverse Engineering.

TL;DR – na stosunkowo nowych routerach UPC – model UBEE EVW3226 (używanych również w Polsce), badacze odtworzyli w pełni algorytm generujący domyślne SSID oraz hasło do WPA2 (obie rzeczy są normalnie wydrukowane na routerze). Jedynym parametrem wejściowym algorytmu jest adres MAC interfejsu WiFI (który to adres można odczytać bezprzewodowo). Przy założeniu, że ktoś nie zmienił domyślnego hasła dostępowego do WiFi – skuteczność algorytmu wynosi 100%.
TL;DR2  – na tym samym urządzeniu istnieje ciekawa podatność: jeśli włożę do routera odpowiednio przygotowany pendrive – to automatycznie uruchomi się umieszczony na nim  .auto – z uprawnieniami roota. Tu żeby zaatakować trzeba mieć fizyczny dostęp do urządzenia – tak czy siak ciekawa sprawa.
TL;DR3 – wg oficjalnego stanowiska UPC Polska: „nowe oprogramowanie wkrótce zostanie automatycznie zainstalowane na urządzeniach klientów.(…) Użytkownicy zostaną poproszeni o zmianę domyślnego hasła przy pierwszym uruchomieniu modemu.”

Wracając do samego badania. Poprzedni research na urządzeniach UPC – z końca 2015 roku –  nie pokazywał czeskim badaczom idealnych wyników – „tylko” 6 na 10 losowych urządzeń WiFi z UPC było podatnych (czyli dało się odzyskać domyślnie generowane hasło WiFi).

Dalsza analiza sprowadzała się do wykorzystania innej podatności – wystarczy włożyć do routera odpowiedni pendrive (nazwany EVW3226, z umieszczonym skryptem shellowym o nazwie .auto) i… skrypt odpala się z uprawnieniami roota).

Punkt z shellowaniem urządzenia (jeśli go się fizycznie posiada) okazał się dość prosty i nie trzeba było nawet iść drogą innej ciekawostki w EVW3226 (dwa porty debug i możliwość uzyskania roota bez uwierzytelnienia po fizycznym wpięciu się do jednego z nich).

upc

Źródło: https://firefart.at/post/upc_ubee_fail/

Dalej klasyka – rozpakowanie i analiza firmware-u, a później dostanie się do funkcji generującej domyślne hasła WPA2.

prof

W ramach ciekawostki, hasła generowane przez router posiadają pewien filtr uniemożliwiający stworzenie „brzydkiego hasła”. Helpdesk w końcu nie chciałby słyszeć zdenerwowanego klienta który dostał router z wygenerowanym hasłem WiFi typu WALSIE123 (czy powiedzmy jego angielski odpowiednik ;) Stąd też wygenerowane hasło przepuszczane jest przez blacklistę, co umożliwia osłabienie części haseł (tych „brzydkich” słów jest całkiem sporo ;)

Finalnie udało się przygotować algorytm generujący hasła ze 100% skutecznością na podstawie adres MAC interfejsu WiFi (adres można uzyskać przez pasywne nasłuchiwanie ruchu):

Źródło: deadcode.me

Źródło: deadcode.me

Całe badanie autorzy wykorzystali finalnie do wardrivingu po ulicach Brna:

Źródło: deadcode.me

Źródło: deadcode.me

Tutaj w 3 godziny namierzono 17 516 routerów w tym 2834 routerów z SSID: UPC-costam i 443 urządzenia, które są potencjalnie podatne (potwierdzono podatność poprzez offlineowe wygenerowanie odpowiedniego SSID na podstawie tylko adresu MAC).

Autorzy nie podali, że podłączyli się do sieci – co też stanowczo odradzamy – może to być łamanie prawa.

Dodatkowo zlokalizowano 97 routerów pracujących w oparciu o podatny model – ale w tym przypadku administratorzy zmienili domyślny SSID i prawdopodobnie hasło. To „tylko” około 18% wszystkich zlokalizowanych routerów UPC UBEE.

Algorytm dostępny jest też w androidowej aplikacji RouterKeygen automatycznie wykrywającej odpowiednie sieci i generującej domyślne klucze dostępowe (używajmy tego narzędzia tylko do sprawdzenia czy ew. nasze sieci mogą być podatne):

routergen

RouterKeygen

Na koniec – zapytaliśmy o kilka szczegółów dotyczących opisywanych wyżej podatności, rzecznika polskiego UPC, pana Michała Furę:

Uprzejmie proszę o komentarz czy na dzień dzisiejszy (…):

1) Podatności opisane powyżej zostały załatane i został udostępniony nowy firmware?
2) Jeśli tak, to w jaki sposób użytkownicy mogą zaktualizować oprogramowanie?
3) Jeśli tak, to w miarę możliwości, proszę o opisanie w jaki sposób podatności zostały usunięte?
4) Czy użytkownicy urządzeń powinni podjąć jakieś dodatkowe czynności aby chronić domyślne hasła do WiFi ustawione na routerach UPC?
5) W opracowaniu mowa jest o usuwaniu pewnych obraźliwych zwrotów w domyślnie generowanych hasłach do WiFi (Profanity analysis) – czy filtr ten zawiera również bazę polskich wulgaryzmów?

Po około 1.5 dnia otrzymałem taką odpowiedź (dziękuję za miły kontakt!):

Odpowiadając na Pana pytania — nasz dostawca stworzył nową wersję oprogramowania, która będzie aktywnie zachęcać użytkowników do zmiany domyślnego hasła dostarczonego wraz z urządzeniem.

Nowe oprogramowanie wkrótce zostanie automatycznie zainstalowane na urządzeniach klientów.

Użytkownicy zostaną poproszeni o zmianę domyślnego hasła przy pierwszym uruchomieniu modemu.

Bezpieczeństwo naszych klientów jest jednym z najważniejszych aspektów naszych działań i stanowi fundament zaufania, jaki klienci pokładają w naszej firmie. Dlatego stale prowadzimy także intensywne działania komunikacyjne i edukacyjne, w których zdecydowanie zachęcamy klientów do zmiany haseł domyślnych na wzór na przykład innych aplikacji (np. bankowych), gdzie personalizacja jest wymagana.

Zachęcamy również naszych klientów do zmiany haseł i pomagamy im w tym za pośrednictwem materiałów edukacyjnych np.:

https://pytania.upc.pl/?q=fact_1006930

http://www.upc.pl/internet/poznaj-internet-upc/bezpieczenstwo-w-sieci/zabezpieczenia/

Aby zwiększać świadomość w tym zakresie prowadzimy także regularnie akcje edukacyjne dla naszych klientów, podkreślające konieczność zmiany haseł, bo świadome działania samych użytkowników są jednym z filarów ich bezpieczeństwa.

–Michał Fura

 

— Michał Sajdak<at>sekurak.pl

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ania

    Oops! A co na to z3s ? ;)

    Odpowiedz
    • Ja wiem, może coś w weekendowej będzie ;-P

      Odpowiedz
  2. U mnie na szczęście od wielu miesięcy UBEE jest jedynie bridgem :-)

    Odpowiedz
  3. Maciej

    Rozumiem, że osoby, które przestawiły ten badziew od UPC w tryb „modem” i mają za nim jakiś sensowny router + firewall nie są narażeni z powodu tej podatności?

    Odpowiedz
    • Powinno być OK :)

      Odpowiedz
      • Filip

        Powinno, ale niekoniecznie* będzie. Wifi na urzadzeniach UPC to taka bańka wstańka, czasami samo wstaje po wyłączeniu (UPC ma dostęp do tego urządzenia, pamiętajcie).

        Dla pewności sugeruję wykręcić anteny.

        *Pozdro piotrze…;)

        Odpowiedz
        • Maciej

          Nie mam anten… to jakiś UBEEVEEEE cośtam coś tam… robi mi tylko za modem – jako klient indywidualny nie byłem wstanie doprosić się o ZWYKŁY MAŁY MODEM KABLOWY…. za tym stoi mikrotik;-)

          Odpowiedz
  4. Filip

    Za „https://www.upc.pl/internet/poznaj-internet-upc/bezpieczenstwo-w-sieci/zabezpieczenia/”:

    „hasło nie może zawierać polskich znaków,”

    W sumie to czemu nie?

    Odpowiedz
  5. Ania

    Nie sądzę, konkurencyjną Netią jest zajęty;)

    Odpowiedz
  6. mm

    dziś ubee dostało nowy soft EVW3226_2.07.
    Poprawili na pewno stabilność radia bo śmiga jak szalone.
    Jest parę dodatków do www. Czas pokaże ile nowych dziur będzie.

    Odpowiedz
    • ostatni sprawiedliwy

      To chyba efekt placebo. U mnie odwrotnie. Od kilkunastu (a może i więcej) dni sygnał wifi często zanika. Wcześniej działało perfekcyjnie. Przypadek? Nie sądzę.

      Odpowiedz

Odpowiedz