FALLO DE SEGURIDAD EN ROUTERS COMTREND El patrón para generar la clave WPA-PSK por defecto de los routers COMTREND se encuentra «a la vista» en el sistema de archivos. 1.- Introducción De todos es conocido que el cifrado WEP como protección para redes wireless es totalmente inseguro y por ello tanto fabricantes como ISP han empezado a configurar en sus dispositivos cifrados más robustos como WPA/WPA2 en sus diferentes variantes. No obstante la utilización de claves por defecto generadas durante el proceso de fabricación, instalación y configuración hacen a estos dispositivos especialmente vulnerables una vez que se ha averiguado el patrón o el algoritmo con el que son generadas las citadas claves y más si este patrón o algoritmo es usado de manera masiva por el fabricante en diferentes modelos de routers que a su vez son distribuidos por diferentes ISP a usuarios finales. 2.- Descripción del fallo de seguridad El fallo de seguridad es ocasionado por la incorrecta limpieza de los archivos creados durante la generación de la clave WPA-PSK y que hacen que estos archivos, en principio archivos temporales a eliminar una vez creada la clave, permanezcan en el sistema de archivos del router. 3.- Modelos afectados Confirmada la existencia de los archivos no eliminados que permiten averiguar el patrón en el modelo de COMTREND CT-5365 Confirmada la utilización del mismo patrón para el modelo de COMTREND AR5381U, Posiblemente también haya otros modelos afectados.
4.- How to… Abrir una consola de linea de comandos y hacer un telnet a la IP del router, por defecto 192.168.1.1 y con user/pass 1234/1234. Veremos por el prompt (>) que estamos en un entorno limitado y con «help» comprobamos que solo tenemos unos pocos comandos a nuestro alcance. Es facil escapar a este entorno limitado concatenando comandos (sysinfo && sh). Una vez ejecutado el comando anterior el prompt cambia a (#) y ya tenemos una consola con privilegios de root «real». Comprobamos que los comandos «ls» y «cd» no funcionan ya que han sido eliminados del sistema de archivos por el fabricante, para poder listar el sistema de archivos y sus diferentes directorios vamos a utilizar un ls casero mediante la siguiente sentencia «for l in /; do echo $l; done». Una vez listado el directorio /var con «for l in /var/; do echo $l; done» veremos dos archivos que llaman poderosamente la atención, /var/md5encode y /var/md5result. Con un cat /var/md5encode obtenemos el patrón utilizado por el fabricante (bcgbghgg+mac+bssid) para generar un hash md5. Con cat /var/md5result vemos y confirmamos que es el hash md5 del patrón anterior y cuyos 20 primeros caracteres son utilizados como clave WPA-PSK por defecto. 5.- Solución Cambiar la clave WPA-PSK «de fábrica» por una propia. 6.- TimeLine