Explotación masiva de vulnerabilidades en ruteadores

Pedro Joaquín Hernández

pjoaquin@websec.mx

C A M P U S P A R T Y 2 0 1 4

Contenido

• Herramientas para escanear todo IPv4

• Botnets de ruteadores

• Vulnerabilidades actuales

• Como mejorar la seguridad de nuestro ruteador

Herramientas para escanear todo IPv4Zmap, MasScan

Introducción al escaneo masivo

• Nmap es la herramienta que todos siguen utilizando.

• Dnmap te permite realizar escaneos distribuidos.

• Zmap te permite escanear todo el rango ipv4 en una hora.

• Masscan requiere hardware adicional, escanea todo Internet en 3 m.

Zmap - http://zmap.io

• Creado por la Universidad de Michigan

• Puede escanear un puerto de todo IPv4 en 45 minutos

• Sigue activo su desarrollo en github

• Un solo paquete SYN por host a max 1.4 M por segundo :O

Zmap vs Nmap

Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet

Nmap (default) 0.978 45:03 116.3 días

Nmap (1 probe) 0.814 24:12 62 días

ZMap, 2 probes 1.000 00:11 2:12:35

ZMap, (default) 0.987 00:10 1:09:45

Tipo de escaneo Parámetros utilizados

Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000

Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0

ZMap, 2 probes zmap –P 2 –p 443

ZMap, (default) zmap –p 443

MASSCAN – Todo Internet en 3 minutos

• Según ellos puede escanear todo IPv4 en 3 minutos• https://github.com/robertdavidgraham/masscan

• Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA”

• Velocidad máxima de 25 Millones de paquetes por segundo

• Encrypted monotonically increasing index

masscan 0.0.0.0/0 -p443 --rate 25000000

Algunos motivos para comprometer ruteadores

• 1. Dinero

Pharming, Bots para clicks en ads, stressers / booters

• 2. Poder

Bots para DDoS, Intercepción de información, Localización

• 3. Diversión

Escanear todo internet, Aprender sobre dispositivos embebidos

La NSA hackea ruteadores desde hace mucho

El catálogo de ANT publicado en diciembre 2013 muestra variasvulnerabilidades explotadas por la NSA en ruteadores:

• HEADWATER Huawei

• SCHOOLMONTANA Juniper J-Series

• SIERRAMONTANA Juniper M-Series

• STUCCOMONTANA Juniper T-Series

Botnets de RuteadoresInternet Census 2012 o Carma Botnet – 420,000 ruteadores

Ejemplo de creación de botnet de forma drive by

Internet Census 2012 – Carma Botnet

• “four simple stupid default telnet passwords can give you access to hundreds of thousands of consumer as well as tens of thousands of industrial devices all over the world.”

• Botnet “no maligna” utilizada para escanear todo Internet

• Utilizó 420,000 dispositivos para escanear 730 puertos

• Velocidad de hasta 4.2 millones de IPs por segundo

• El reporte contiene más de 9 TB de datos

420 Millones

respondieron

al Ping

Dominios – Carma Botnet

Cantidad TLD

374670873 .net

199029228 .com

75612578 .jp

28059515 .it

28026059 .br

21415524 .de

20552228 .cn

17450093 .fr

17363363 .au

17296801 .ru

16,910,153 .mx

Cantidad Dominio TLD

61327865 ne jp

34434270 bbtec net

30352347 comcast net

27949325 myvzw com

24919353 rr com

22117491 sbcglobal net

18639539 telecomitalia it

17480504 verizon net

16467453 com br

16378853 ge com

15743176 spcsdns net

15081211 com cn

14023982 t-dialin net

13,421,570 com mx

SubDominios – Carma Botnet

Cantidad Subdominio Dominio TLD

16492585 res rr com

16378226 static ge com

15550342 pools spcsdns net

14902477 163data com cn

14023979 dip t-dialin net

12268872 abo wanadoo fr

11685789 business telecomitalia it

11492183 ocn ne jp

10,192,958 prod-infinitum com mx

SubDominios .mx – Carma Botnet

Cantidad SubSubDominio Subdominio Dominio TLD

10,192,958 prod-infinitum com mx

577,483 dyn cableonline com mx

208,147 static avantel net mx

157,059 static metrored net mx

Drive-by Router Botnet PoC - Websec

• Combinando una puerta trasera con la posibilidad de ejecución de comandos en la interfaz web de un ruteador es posible comprometer ruteadores de manera masiva con solo visitar una página web.

* La vulnerabilidad de la puerta trasera ha sido parchada

Vulnerabilidades actualesSNMP / UPNP / DNS / NTP

Estadísticas de SNMP – Errata Security

• Protocolo de administración de dispositivos

• Robert Graham en octubre 2013

• GET sysName y sysDescr

masscan 0.0.0.0/0 -pU:161 --banners

Estadísticas de SNMP – Errata SecurityCantidad SysName

288176 CableHome

145375 TD5130123819 Unknown

119946 Broadcom108174CHT

79667 unnamed

48492 Innacomm36876 KWS-1040G

28779 DSL-2640B

27768 P-660R-T127447 router

25229 WA3002G424178 ADSL

22738 ADSL

20528 Speedy19828 Telefonica

18884 D-Link18384nobrand17136 DSL-2500U

15755 Beetel13175 Sprint

12374 Siemens

12032 RTL867x11782 DNA-A211-I

10971 unknown9738USR9111

Cantidad SysDescr

189979P-660HW-D1

132290Software Version 3.10L.01122354Linux WNR1000v2 2.6.15

79667ucd-snmp-4.1.2/eCos74816P874S5AP_20120106W

74654Linux ADSL2PlusRouter 2.6.19

74435Technicolor CableHome Gateway

73785CBW700N

65439System Description55851Thomson CableHome Gateway52248Wireless ADSL Gateway41910Hardware

39351Linux ADSL2PlusRouter 2.6.1938372Ubee PacketCable 1.5 W-EMTA

31197Netopia 3347-02 v7.8.1r230728P-660HW-T1 v228390Apple Base Station V3.84 Compatible28311GE_1.0727017ZXV10 W300

Estadísticas de dispositivos vulnerables UPnP– ZMap (11/02/13)

15.7 millones de direcciones IP accesibles remotamente UPnP

16.5% de 15.7 M

2.56 millones tienen Intel UPnP vulnerable

+817,000 tienen MiniUPnP vulnerable

Un par de horas es lo que se requiere para comprometer todos los

+3.4 millones de hosts

Internet Wide Scan Data Repository

https://scans.io/ :

• University of Michigan · HTTPS Ecosystem Scans

• University of Michigan · Hurricane Sandy ZMap Scans

• Rapid7 · Critical.IO Service Fingerprints

• Rapid7 · SSL Certificates

• Rapid7 · Reverse DNS

Critical.IO Service Fingerprints – Rapid7

• El proyecto critical.io descubría vulnerabilidades en todo IPv4

• Fue llevado a cabo de mayo 2012 a marzo 2013

• Se puede encontrar la información diaria en https://scans.io/study/sonar.cio

/rom-0 en 2014

• En Enero 2014 Team Cymru publicó un estudio donde exponen una red de

•300,000 ruteadores infectados con DNS Pharming

• La principal vulnerabilidad utilizada fue la decompresióndel archivo /rom-0 del servidor RomPager

Router DNS Amplification DDoS

24 Millones de

ruteadores

con open DNS proxies

En Febrero 2014 más de

5.3 Millones fueronutilizados para atacar

Router NTP Amplification DDoS

“~7 million insecurely-configured NTP servers on the Internet, including services embedded in routers, layer-3 switches, and consumer broadband CPE devices”

http://www.arbornetworks.com/asert/2014/02/ntp-attacks-welcome-to-the-hockey-stick-era/

Herramientas gratuitas para mejorar la seguridad de nuestro ruteador

Que es una Puerta Trasera?

• Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft)

• Método de acceso no documentado.

• Comúnmente olvidado por los desarrolladores.

• Frecuentemente es implementada a propósito y ocultada por los fabricantes.

Administración expuesta a Internet

Funciones / Interfaces redundantes

Parámetros ocultos

Cuentas comunes

Configuración expuesta

Lista de puertas traseras comunes de México

Marca Modelo Puerta trasera Acceso remoto

Parche del ISP7/5/2014

Detecciónpor DPT

Huawei HG5xxx Archivo de configuración con contraseña Si Si Si

Huawei HG5xxx Generación de WEP en base a MAC Si No No

Alcatel-Lucent I-240-W Cuenta de administración oculta Si Si Si

Alcatel-Lucent I-240-W Generación de WPA en base a MAC Si No Si

Technicolor TG582n Cuenta de administración oculta Si No Si

TP-Link WDR740 URL de administración oculta No No Si

Huawei HG824x Cuenta de administración oculta Si No No

Ubee HG824x Cuenta de administración oculta Si No No

Arris Varios Cuenta de admin con password del día Si No No

Varias Varios Cuentas comunes de administración Si

Detector de Puertas Traseras v2.0 - Websec

Routerpwn 1.16.229 - Websec

Y ahora el momento que algunos estaban esperando…

Generador de clave WIFI para ONT Alcatel-Lucent I-240W-Q

Auditoría de dispositivos embebidos

• Revisión de código fuente

• Auditoría de vulnerabilidades del servidor y aplicativo Web

• Auditoría de vulnerabilidades en HNAP, UPNP, SSH

• Identificación de puertas traseras en diferentes protocolos

Tenemos experiencia realizando estos servicios:

info@websec.mx

Auditoría de HW de dispositivos embebidos

• Identificación de componentes electrónicos

• Comunicación por interface GPIO, SPI, I2C, JTAG, etc.

• Extracción del contenido de la memoria

• Análisis de vulnerabilidades del firmware extraído y desempacado

• Emulación de código para dispositivos embebidos MIPS

info@websec.mx

Explotación masiva de vulnerabilidades en ruteadores

Pedro Joaquín Hernández

pjoaquin@websec.mx

@_hkm

www.websec.mx

www.hakim.ws

www.underground.org.mx

Referencias

• https://zmap.io/paper.pdf

• http://nominum.com/news-post/24m-home-routers-expose-ddos/

• http://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf

• http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html

• http://internetcensus2012.bitbucket.org

• https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-to-project-sonar

• https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf

• http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-de-infinitum/

• http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/

• http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740