Истражување: .мк сајбер инфраструктура – JT3500V 4G LTE WiFi & VoIP CPE

Следниов текст е дел од истражувањето на тема: .мк сајбер инфраструктура – Отстранување на национална сајбер закана, реализирано од страна на Ѓоко Крстиќ од лабораторијата за истражување на ИКТ безбедност ZeroScience Lab.


Вовед (TL;DR)

Додека работев на еден безбедносен тест, дознав дека откриените мрежни уреди се користат и во македонскиот сајбер простор. Со ова истражување би сакал малку и да ја подигнам свеста за безбедност на информации во нашата држава, како на корисниците така и на снабдувачите на мрежни уреди, софтвер и интернет пристап и на самиот MKD-CIRT тим.

Во првиот случај се работи за производот SOYAL Access Control System со потекло од Тајван и открив дека 62 IP адреси од Македонија го користат горенаведениот систем за контрола на пристап (влез) кој се користи во владиниот, приватниот и индустрискиот сектор. Повеќе за првиот дел од истражувањето тука

Во вториот случај се работи за производот ЈТ3500V 4G LTE CPE со потекло од Кина и открив дека 1550 IP адреси од Македонија го користат горенаведениот уред за интернет пристап и VoIP повици овозможен од Неотел оператор.

Во овој “рутер” што се наоѓа во вашиот дом, се наоѓаат секакви ранливости и скриени алатки за пристап (backdoor) од оригиналниот производител – KZ Broadband Technologies, Ltd. Тимот на Неотел има направено една “мала” грешка при инсталирање на овие уреди во вашите домови – воопшто не погледнале што има внатре – Supply Chain Attack. При анализа на уредот и firmware-от заклучив дека не е извршено никакво безбедносно тестирање или пентест од страна на операторот пред да ги достави уредите на нивните клиенти низ цела Македонија. CPE – Customer-premises equipment. Тоа се 1550 домаќинства или деловни простории кадешто буквално секој имал можност да ви го прислушкува интернет сообраќајот и да ги злоупотребува вашите ресурси кон поголеми малициозни активности (пр. Botnet). Worried yet?

Референца од наше истражување како потенцијално сценарио кога компаниите не превземаат одговорност:

Во продолжение следува детален опис за ранливостите пронајдени во JT3500V 4G LTE WiFi & VoIP CPE и интеракцијата со надлежните лица на територија на Македонија.

Тајмлајн – JT3500V 4G LTE WiFi & VoIP CPE (Incident ID: 979/NEOTEL)

“Неотелwww.neotel.mk е телекомуникациски оператор со повеќе од 15 години на пазарот  што нуди широк спектар на услуги од областа на широкопојасен интернет пристап, фиксна телефонија, изнајмени линии, хостирање и колокација на опрема. Започнува нудејќи услуги на бизнис-корисници со капацитет не поголем од неколку мегабити во секунда (Mbps), а денес услуги на деловни и домашни корисници преку LTE безжична технологија и сопствена оптичка мрежа со гигабитен (Gbps) капацитет.”

Првин се обидов да контактирам директно со Неотел неколку пати. Од Неотел нема одговор на моите обиди за комуникација, па ги контактирав MKD-CIRT.

Следува тајмлајн (e-mail комуникација):

  • 03 фев 2021: Пронајдена ранливост/0day, изложеност на Интернет (закана).
  • 05 фев 2021: Chat сесија на Неотел веб страна, упатуваат кон [email protected]
  • 05 фев 2021: Испратен имејл до Неотел.
  • 07 фев 2021: Испратен имејл до KzTech.
  • 09 фев 2021: Испратен последен имејл до Неотел, предмет: инцидент, ранливост.
  • 11 фев 2021: Нема одговор од Неотел. Нема одговор од KzTech. Нема одговор од Jaton Tech.
  • 12 фев 2021: Испратен имејл до MKD-CIRT со приложени детали и јавни IP адреси.
  • 12 фев 2021: MKD-CIRT испраќа имејл до Неотел со објаснување и преземање мерки за заштита. Дополнително ќе ме информираат откако добијат одговор од операторот.
  • 15 фев 2021: Приметувам затворен HTTP пристап до изложените IP адреси. Тоа значи дека Неотел превземаат акции да не ги изложуваат нивните рутери кон целиот свет и тоа го прават без никаква комуникација или известување. Тивко и безгрижно. Уредите се сеуште ранливи во LAN мрежата како и WiFi лозинките. Сетирање на firewall не е доволно и треба повлекување на сите уреди (или пак зацврстен firmware) и јавно извинување до корисниците.
  • 16 фев 2021: Неотел објавува известување за малициозни веб страни. Не објавува ништо во врска со инцидентот ниту пак одговара на обидот за комуникација. Операторот е ISO-27001:2013 сертифициран. – https://www.iso.org/standard/54534.html
  • 17 фев 2021: Барам апдејт од MKD-CIRT дали добиле одговор од Неотел.
  • 05 мар 2021: Нема одговор од MKD-CIRT, нема одговор од Неотел. Одеднаш добивам имејл од Неотел, бараат пентест услуги. Сеуште нема информации за инцидентот.
  • 14 апр 2021: Нема одговор од MKD-CIRT. Нема одговор од Неотел.

Не навлегувам во легалните обврски и условите за користење на операторот, но доколку вие што го читате овој текст ги користите услугите на Неотел, бидете информирани:

Во продолжение неколку извадоци:

5. Права, обврски и одговорности на операторот: – да преземе соодветни технички и организациски мерки и соодветно да управува со ризиците и безбедноста на мрежата и услугите, за да се спречи и го минимизира влијанието на безбедносните инциденти. Поради овие причини, Операторот има имплементирано „Политика за сигурност и безбедност на информацискиот систем“,со која ја утврдува ранливоста на системот, се врши надзор и спроведување на превентивни и корективни мерки.”

5.2 Операторот не е одговорен за: – за настанатиот телефонски и интернет сообраќај како резултат на упад и кражба во просториите на Претплатникот или упад на неговата опрема, доколку некој неовластено го користел неговото корисничко име и лозинка или уредот доделен од Операторот за конкретната услуга и сл.”

СИГУРНОСТ – НЕОТЕЛ ги превзема сите пропишани организациски, административни, технички и физички мерки за заштита на Вашите лични податоци, со цел да се спречи загуба, кражба, злоупотреба, неавторизиран пристап, непрописна објава, промена или пак уништување на тие податоци. НЕОТЕЛ може периодично да врши ажурирање на полисата за приватност, а секоја промена на истата ќе биде објавена на веб страната на НЕОТЕЛ.”

Продолжив да барам некаква реакција од Неотел но безуспешно. Неотел на страницата за поддршка и главната веб страна објавуваат известувања за малициозни веб страни и надградба на WiMax но никаде не видов известување за менување на зададените кориснички имиња и лозинки и водичи за безбедност на информации кај ранливиот уред.

Една компанија може да ја оддржи својата репутација, да ги задржи клиентите и да придобие нови само доколку воспоставува и одржува комуникација и грижа за самите корисници. Неотел и MKD-CIRT со игнорирањето на моите обиди за комуникација и пријавување на ранливости покажуваат непрофесионално работење. Ве оставија вас и голем дел од државата отворена на потенцијални напади и шпионирање.

Во меѓувреме присуствував и на вебинар оддржан од MKD-CIRT за најдобри практики за сајбер безбедност и го поставив прашањето што ако CERT/CIRT тимовите не одговараат на нашите обиди за комуникација. Одговорот на MKD-CIRT (индиректен цитат, на англиски):

“We try to respond quickly. Further analysis can vary quite a bit and can be prolonged.”

Дечките од Србија одговорија:

“You need to go higher in the organization, ex. your manager, etc. and have  a continuous communication. If you have difficulties with communication, bring that up, react within the organization.”

MKD-CIRT додава:

“It is challenging to receive reasonable answer and some interaction from the other side, especially when you have lots of issues, legal issues. Make someone do something just to make them aware. Whenever we receive 3rd party referencing of some issues concerning an organization, we try to encourage them to reach between themselves which is always an option.”

Иако прашањето не беше баш разбрано, се сложувам со изјавата околу комуницирање. Треба да комуницирате и да работите заедно со пријавувачот на инцидентот. Самиот вебинар посочува на компаниите да: “Evaluate third party and supply chain risk.”

Неотел:
Ве молам за изјава.

MKD-CIRT:
“Problems you need to consider: Lack of in-person response.”

Кога ќе забележиме дека некоја компанија ветува нешто на нивната веб страна а во реалност тоа не го спроведува, тогаш чувствуваме човечка должност да посочиме на тоа. Кога купувате уреди за вашите домови или вашите претпријатија, прашувајте за безбедноста на истите и правете истражување, пример: рутери, смарт телевизори, ресивери, смарт домови, камери и сл., секаков уред што користи мрежа или далечинска контрола треба барем минимално да ги поседува тие основни безбедносни полиси и гаранција од произведувачот дека имаат извршено тестирања на уредите пред нивно распоредување.

Ранливости/предупредувања

  • JT3500V 4G LTE CPE 2.0.1 Authentication Bypass
  • JT3500V 4G LTE CPE 2.0.1 Remote Code Execution (Hidden Backdoors)
  • JT3500V 4G LTE CPE 2.0.1 Authenticated Command Injection
  • JT3500V 4G LTE CPE 2.0.1 Improper Access Control / IDOR
  • JT3500V 4G LTE CPE 2.0.1 Incorrect Permission Assignment for Critical Resource
  • JT3500V 4G LTE CPE 2.0.1 Default and Hardcoded Credentials Shell Access
  • JT3500V 4G LTE CPE 2.0.1 Configuration Download Information Disclosure
  • JT3500V 4G LTE CPE 2.0.1 Weak WiFi Password Algorithm
  • JT3500V 4G LTE CPE 2.0.1 Unauthenticated Log Disclosure
  • JT3500V 4G LTE CPE 2.0.1 Unauthenticated Forced Factory Default Settings
  • JT3500V 4G LTE CPE 2.0.1 Privilege Escalation
  • JT3500V 4G LTE CPE 2.0.1 Unauthenticated Device Reboot (DoS)
  • JT3500V 4G LTE CPE 2.0.1 Insufficient Session Expiration

JT3500V анализа (Vulnerability research and threat analysis)

KZ Tech го изработува firmware-от заснован на Ralink (MediaTek) системот на чип за безжична комуникација (ASoC SDK 4.3.0.0 “Everyday genius”).

KZ Tech продава мрежен производ на Jaton Tech, Jaton Tech го модифицира firmware-от и го продава мрежниот производ на Неотел, Неотел го имплементира мрежниот производ низ МК. Немам информација од кога се изложени адресите но претпоставувам дека Неотел ги има овие рутери од 2018/2019 година. Модели во кои се наоѓаат пронајдените ранливости се:

Како произведувачи на уредите се набројани: KZTECH, Jaton Tec. и Neotel, зависно кој ги користи услугите на KZ TECH  или Jaton Tech OEM/ODM: http://www.kzbtech.com/oem.html

Повеќе за производот:

Морам да напоменам дека некои од пронајдените ранливости се познати уште од 2017 година во постарите модели со друго име. Firmware-от е скоро ист, со мали измени во кодот (backdoor-от е пософистициран), во изгледот, и наместо ASP се користат HTML страници во поновите модели. Ништо не е закрпено, иако имало обид за ублажување на ранливостите. https://www.exploit-db.com/exploits/42450 (2017 – AirMaster 3000M)

Да провериме од каде доаѓа хардверот:

И да го потврдиме произведувачот на мрежните картички:

Започнав тема на форумот на ИТ за корисници на Неотел да споделат некакво искуство со наведените рутери. Им благодарам на spiritBreaker и mac_mk за доставените информации!

Се поиграв и со firmware-от (SquashFS, MIPS 32-bit) како и со goahead веб серверот компајлиран од KZTech. Поздрав до Тони Ванг 😉

WiFi лозинките се зададени и генерирани од делот на MAC адресата. Ако го погледнете примерот подолу, ќе ја видите сличноста помеѓу името на мрежата (SSID) и самата лозинка. Доколку некој се приближи до вашата локација и ја здогледа мрежата “MyWifi-FE93DC”, може да се приклучи со внесување на “EF” на почетокот и остатокот од вториот дел од името “FE93DC” и успешно да се логира на вашата внатрешна и приватна мрежа со лозинката “EFFE93DC” (лозинката е иста и за 5G Wi-Fi):

Препорачувам штом имате пристап до вашиот рутер, (лозинка: neotelwings), сменете си ги дифолтните поставки, името на Wi-Fi мрежата и лозинката. Најдобро и да го сокриете името.

Зедов неколку goahead бинарни податоци од различни модели. При анализа открив дека Неотел е присутен како OEM Manufacturer (2018г во моделот AM6200M):

Неколку “произведувачи” на истиот рутер:

Заобиколување / бајпас на автентикација може да се случи на два начина. Заклучив со анализирање на сите фунции во веб серверот дека неколку “endpoints” не бараат автентикација и авторизација и секој може да изврши едно HTTP побарување и да дојде до осетливи податоци или пак да го ресетира уредот со дифолтна конфигурација. Кога ќе се изврши HTTP GET побарување кон CGI скриптата “export_settings.cgi” во cgi-bin фолдерот, ја добивате целата конфигурација во неенкриптирана и компресирана zlib форма со сите поставки и лозинки во неа:

Следното HTTP(S) GET побарување ќе го ресетира уредот во “Factory Default” состојба, ќе го рестартира и можете да се логирате со зададените администраторски лозинки: neotelwings или admin123, зависно која е дифолтната лозинка и од кој производител:

Ова HTTP(S) GET побарување ќе го рестартира уредот (Denial of Service сценарио), исто така без автентикација:

Ова HTTP(S) GET побарување овозможува превземање на системскиот запис (system log) без автентикација што може да открие осетливи информации за системот:

Постои и скриена страница што овозможува извршување на LTE protocol stack команди (/lte/cmdshell.html):

Корисникот user со лозинка user123 изгледа како да има ограничени можности (барем така се очекува) за разлика од корисникот admin, но за жал тоа не е така. Со гостинскиот корисник исто така имате администраторски привилегии. Доколку не ги гледате некои од под-менијата, можете директно да пристапите до истите со директно впишување во address bar-от (IDOR напад).

Пример: /system_firewall.html ви дава за можност успешно да го исклучите firewall-от. Откако го направите тоа, имате rootshell (adminshell во овој случај) пристап преку портата 23 (telnet) со користење на зададено и hard-coded корисничко име и лозинка: admin:root123.

Или постариот модел AirMaster 3000M:

Бидејќи околината на конзолата е ограничена со алатки и команди, можете да го искористите TFTP клиентот и да преземете алатка за прислушкување на мрежен сообраќај како и VoIP сесии, tcpdump (компајлиран за MIPS архитектура) и да ги преслушате телефонските повици со Wireshark:

Пример: https://github.com/darkerego/mips-binaries/blob/master/tcpdump и  https://wiki.wireshark.org/VoIP_calls

Во постарите верзии постои ранливост – Authenticated Command Injection. Во поновите и Неотел верзии таа ранливост е сеуште присутна но под различен и нов наслов: Authenticated Semi-Blind Filter Bypass Command Injection in “diagnosis_ping.html” (startPing() function, pingAddr POST parameter) 😊.

Откако направив назадно програмирање (reverse engineering) на функцијата “startPing()” можеме да видиме обид за филтрирање на корисничко внесување пред повикување на системската команда ping. Следува C псевдокод:

Со ограничен output добивам ограничени резултати (затоа е semi-blind). Со помош на shell command substitution или користење на $(), или back-tick ` карактерот, го заобиколувам филтерот и успешно извршувам системски команди, но ќе треба и да го заобиколите филтерот за празно место (space):

Исто така, со корисникот user можам да го вклучам DebugMode (DM) и да го отворам Telnet пристапот според анализата на постоечките скрипти во /sbin фолдерот,  пр. firewall_init.sh:

DebugMode може да се вклучи преку веб панелот од скриениот backdoor: syscmd.html (syscmd.asp во постарите верзии). Скриениот backdoor е заштитен со лозинка.

За да го отсраните прозорчето што ви бара Supervisor Password, во веб конзолата на вашиот прелистувач пишувате:

Од тука, можете да го вклучите DebugMode или пак да прикачите нов Bootrom. За да го искористите backdoor-от и да почнете да извршувате произволни команди во системот, потребно е да ја знаете лозинката.

Во постарите модели, лозинката е super1234 и извршување на команди изгледа вака:

Следува C псевдокод од стариот backdoor:

Да го погледнеме и поновиот backdoor:

Структура на ботнет сценарио (DDoS) (или IoT supply chain -> botnet -> DDoS): https://www.deviantart.com/liquidworm/art/Supply-Chain-IoT-Botnet-DDoS-sc-1-872288118):

Додека го оставив администраторскиот корисник логиран во апликацијата, после 48 часа приметувам дека сесијата е сеуште валидна и не добивам никакво редиректирање до страницата за повторно логирање. Ова претставува ранливост и напаѓачите можат да ја искористат истата сесија за (повторна) авторизација. Прозиведувачите би требало да имплементираат доволно истекување или “уништување” на таа сесија, пр. после 15 минути.

Предупредувања и идентификации:


Линк до истражувањето

Линк до првиот дел:
Истражување: .мк сајбер инфраструктура – Soyal Biometric Access Control System

3 коментари на “Истражување: .мк сајбер инфраструктура – JT3500V 4G LTE WiFi & VoIP CPE

  1. Браво! Сеопфатна и професионална статија. Нивото на безбедност во интернет просторот кај нас за жал е примитивно, ниту пак се сваќа сериозно што е најпоразително. Потребна е едукација што поимот сајбер безбедност значи, кои се ризиците и кои се придобивките. Потребна е владина кампања за поттикнување на свеста за овој голем проблем. Јас верувам дека во министерството за Информатичко општество има способен кадар кој ќе отпочне една стратегија на подолг рок, најпрво за информирање а потоа и за унапредување.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии