Explotación masiva de
vulnerabilidades en ruteadores
Pedro Joaquín Hernández
pjoaquin@websec.mx
C A M P U S P A R T Y 2 0 ...
Contenido
• Herramientas para escanear todo IPv4
• Botnets de ruteadores
• Vulnerabilidades actuales
• Como mejorar la seg...
Herramientas para escanear
todo IPv4
Zmap, MasScan
Introducción al escaneo masivo
• Nmap es la herramienta que todos siguen utilizando.
• Dnmap te permite realizar escaneos ...
Zmap - http://zmap.io
• Creado por la Universidad de Michigan
• Puede escanear un puerto de todo IPv4 en 45 minutos
• Sigu...
Zmap vs Nmap
Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet
Nmap (default) 0.978 45:03 1...
MASSCAN – Todo Internet en 3 minutos
• Según ellos puede escanear todo IPv4 en 3 minutos
• https://github.com/robertdavidg...
Algunos motivos para comprometer ruteadores
• 1. Dinero
Pharming, Bots para clicks en ads, stressers / booters
• 2. Poder
...
La NSA hackea ruteadores desde hace mucho
El catálogo de ANT publicado en diciembre 2013 muestra varias
vulnerabilidades e...
Botnets de Ruteadores
Internet Census 2012 o Carma Botnet – 420,000 ruteadores
Ejemplo de creación de botnet de forma driv...
Internet Census 2012 – Carma Botnet
• “four simple stupid default telnet passwords can give you access to
hundreds of thou...
420 Millones
respondieron
al Ping
Dominios – Carma Botnet
Cantidad TLD
374670873 .net
199029228 .com
75612578 .jp
28059515 .it
28026059 .br
21415524 .de
205...
SubDominios – Carma Botnet
Cantidad Subdominio Dominio TLD
16492585 res rr com
16378226 static ge com
15550342 pools spcsd...
SubDominios .mx – Carma Botnet
Cantidad SubSubDominio Subdominio Dominio TLD
10,192,958 prod-infinitum com mx
577,483 dyn ...
Drive-by Router Botnet PoC - Websec
• Combinando una puerta trasera con la posibilidad de ejecución de
comandos en la inte...
Vulnerabilidades actuales
SNMP / UPNP / DNS / NTP
Estadísticas de SNMP – Errata Security
• Protocolo de administración de dispositivos
• Robert Graham en octubre 2013
• GET...
Estadísticas de SNMP – Errata Security
Cantidad SysName
288176CableHome
145375TD5130
123819Unknown
119946Broadcom
108174CH...
Estadísticas de dispositivos vulnerables UPnP
– ZMap (11/02/13)
15.7 millones de direcciones IP accesibles remotamente UPn...
Internet Wide Scan Data Repository
https://scans.io/ :
• University of Michigan · HTTPS Ecosystem Scans
• University of Mi...
Critical.IO Service Fingerprints – Rapid7
• El proyecto critical.io descubría vulnerabilidades en todo IPv4
• Fue llevado ...
/rom-0 en 2014
• En Enero 2014 Team Cymru publicó un estudio donde
exponen una red de
•300,000 ruteadores infectados con D...
Router DNS Amplification DDoS
24 Millones de
ruteadores
con open DNS proxies
En Febrero 2014 más de
5.3 Millones fueron
ut...
Router NTP Amplification DDoS
“~7 millioninsecurely-configured NTP servers on the Internet,
including services embedded in...
Herramientas gratuitas para
mejorar la seguridad de nuestro
ruteador
Que es una Puerta Trasera?
• Método de acceso que puede
ser utilizado para evadir políticas
de seguridad. (Microsoft)
• Mé...
Lista de puertas traseras comunes de México
Marca Modelo Puerta trasera Acceso
remoto
Parche del ISP
7/5/2014
Detección
po...
Detector de Puertas Traseras v2.0 - Websec
Routerpwn 1.16.229 - Websec
Y ahora el momento que algunos
estaban esperando…
Generador de clave WIFI para
ONT Alcatel-Lucent I-240W-Q
Auditoría de dispositivos embebidos
• Revisión de código fuente
• Auditoría de vulnerabilidades del servidor y aplicativo ...
Auditoría de HW de dispositivos embebidos
• Identificación de componentes electrónicos
• Comunicación por interface GPIO, ...
Explotación masiva de
vulnerabilidades en ruteadores
Pedro Joaquín Hernández
pjoaquin@websec.mx
@_hkm
www.websec.mx
www.ha...
Referencias
• https://zmap.io/paper.pdf
• http://nominum.com/news-post/24m-home-routers-expose-ddos/
• http://community.ra...
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
Upcoming SlideShare
Loading in …5
×

CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín

1,332 views

Published on

Los métodos para escanear redes han evolucionado, y podemos encontrar millones de dispositivos de interconexión vulnerables que ponen en riesgo la información de sus propietarios y facilitan ataques a mayor escala. Mostraremos las técnicas que actualmente se utilizan para realizar escaneos de todo Internet y algunas vulnerabilidades predominantes.

Ponente: Pedro Joaquín. Director de Seguridad Corporativa de Websec México. En su blog Hakim.ws publica sus investigaciones referentes a dispositivos embebidos. Ha encontrado y publicado más de 15 vulnerabilidades de dispositivos utilizados en México. Es creador de Routerpwn y de la Comunidad Underground de México. Realiza auditorías y pruebas de penetración a infraestructura SCADA, SAP, servidores WebLogic, servidores iPlanet, routers Cisco, Solaris, Checkpoint FW, Citrix y Active Directory por nombrar algunas.

Video: https://www.youtube.com/watch?v=aqOQfjX8fD0

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,332
On SlideShare
0
From Embeds
0
Number of Embeds
253
Actions
Shares
0
Downloads
30
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín

  1. 1. Explotación masiva de vulnerabilidades en ruteadores Pedro Joaquín Hernández pjoaquin@websec.mx C A M P U S P A R T Y 2 0 1 4
  2. 2. Contenido • Herramientas para escanear todo IPv4 • Botnets de ruteadores • Vulnerabilidades actuales • Como mejorar la seguridad de nuestro ruteador
  3. 3. Herramientas para escanear todo IPv4 Zmap, MasScan
  4. 4. Introducción al escaneo masivo • Nmap es la herramienta que todos siguen utilizando. • Dnmap te permite realizar escaneos distribuidos. • Zmap te permite escanear todo el rango ipv4 en una hora. • Masscan requiere hardware adicional, escanea todo Internet en 3 m.
  5. 5. Zmap - http://zmap.io • Creado por la Universidad de Michigan • Puede escanear un puerto de todo IPv4 en 45 minutos • Sigue activo su desarrollo en github • Un solo paquete SYN por host a max 1.4 M por segundo :O
  6. 6. Zmap vs Nmap Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet Nmap (default) 0.978 45:03 116.3 días Nmap (1 probe) 0.814 24:12 62 días ZMap, 2 probes 1.000 00:11 2:12:35 ZMap, (default) 0.987 00:10 1:09:45 Tipo de escaneo Parámetros utilizados Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0 ZMap, 2 probes zmap –P 2 –p 443 ZMap, (default) zmap –p 443
  7. 7. MASSCAN – Todo Internet en 3 minutos • Según ellos puede escanear todo IPv4 en 3 minutos • https://github.com/robertdavidgraham/masscan • Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA” • Velocidad máxima de 25 Millones de paquetes por segundo • Encrypted monotonically increasing index masscan 0.0.0.0/0 -p443 --rate 25000000
  8. 8. Algunos motivos para comprometer ruteadores • 1. Dinero Pharming, Bots para clicks en ads, stressers / booters • 2. Poder Bots para DDoS, Intercepción de información, Localización • 3. Diversión Escanear todo internet, Aprender sobre dispositivos embebidos
  9. 9. La NSA hackea ruteadores desde hace mucho El catálogo de ANT publicado en diciembre 2013 muestra varias vulnerabilidades explotadas por la NSA en ruteadores: • HEADWATER Huawei • SCHOOLMONTANA Juniper J-Series • SIERRAMONTANA Juniper M-Series • STUCCOMONTANA Juniper T-Series
  10. 10. Botnets de Ruteadores Internet Census 2012 o Carma Botnet – 420,000 ruteadores Ejemplo de creación de botnet de forma drive by
  11. 11. Internet Census 2012 – Carma Botnet • “four simple stupid default telnet passwords can give you access to hundreds of thousands of consumer as well as tens of thousands of industrial devices all over the world.” • Botnet “no maligna” utilizada para escanear todo Internet • Utilizó 420,000 dispositivos para escanear 730 puertos • Velocidad de hasta 4.2 millones de IPs por segundo • El reporte contiene más de 9 TB de datos
  12. 12. 420 Millones respondieron al Ping
  13. 13. Dominios – Carma Botnet Cantidad TLD 374670873 .net 199029228 .com 75612578 .jp 28059515 .it 28026059 .br 21415524 .de 20552228 .cn 17450093 .fr 17363363 .au 17296801 .ru 16,910,153 .mx Cantidad Dominio TLD 61327865 ne jp 34434270 bbtec net 30352347 comcast net 27949325 myvzw com 24919353 rr com 22117491 sbcglobal net 18639539 telecomitalia it 17480504 verizon net 16467453 com br 16378853 ge com 15743176 spcsdns net 15081211 com cn 14023982 t-dialin net 13,421,570 com mx
  14. 14. SubDominios – Carma Botnet Cantidad Subdominio Dominio TLD 16492585 res rr com 16378226 static ge com 15550342 pools spcsdns net 14902477 163data com cn 14023979 dip t-dialin net 12268872 abo wanadoo fr 11685789 business telecomitalia it 11492183 ocn ne jp 10,192,958 prod-infinitum com mx
  15. 15. SubDominios .mx – Carma Botnet Cantidad SubSubDominio Subdominio Dominio TLD 10,192,958 prod-infinitum com mx 577,483 dyn cableonline com mx 208,147 static avantel net mx 157,059 static metrored net mx
  16. 16. Drive-by Router Botnet PoC - Websec • Combinando una puerta trasera con la posibilidad de ejecución de comandos en la interfaz web de un ruteador es posible comprometer ruteadores de manera masiva con solo visitar una página web. * La vulnerabilidad de la puerta trasera ha sido parchada
  17. 17. Vulnerabilidades actuales SNMP / UPNP / DNS / NTP
  18. 18. Estadísticas de SNMP – Errata Security • Protocolo de administración de dispositivos • Robert Graham en octubre 2013 • GET sysName y sysDescr masscan 0.0.0.0/0 -pU:161 --banners
  19. 19. Estadísticas de SNMP – Errata Security Cantidad SysName 288176CableHome 145375TD5130 123819Unknown 119946Broadcom 108174CHT 79667unnamed 48492Innacomm 36876KWS-1040G 28779DSL-2640B 27768P-660R-T1 27447router 25229WA3002G4 24178ADSL 22738ADSL 20528Speedy 19828Telefonica 18884D-Link 18384nobrand 17136DSL-2500U 15755Beetel 13175Sprint 12374Siemens 12032RTL867x 11782DNA-A211-I 10971unknown 9738USR9111 Cantidad SysDescr 189979P-660HW-D1 132290Software Version 3.10L.01 122354Linux WNR1000v2 2.6.15 79667ucd-snmp-4.1.2/eCos 74816P874S5AP_20120106W 74654Linux ADSL2PlusRouter 2.6.19 74435Technicolor CableHome Gateway 73785CBW700N 65439System Description 55851Thomson CableHome Gateway 52248Wireless ADSL Gateway 41910Hardware 39351Linux ADSL2PlusRouter 2.6.19 38372Ubee PacketCable 1.5 W-EMTA 31197Netopia 3347-02 v7.8.1r2 30728P-660HW-T1 v2 28390Apple Base Station V3.84 Compatible 28311GE_1.07 27017ZXV10 W300
  20. 20. Estadísticas de dispositivos vulnerables UPnP – ZMap (11/02/13) 15.7 millones de direcciones IP accesibles remotamente UPnP 16.5% de 15.7 M 2.56 millones tienen Intel UPnP vulnerable +817,000 tienen MiniUPnP vulnerable Un par de horas es lo que se requiere para comprometer todos los +3.4 millones de hosts
  21. 21. Internet Wide Scan Data Repository https://scans.io/ : • University of Michigan · HTTPS Ecosystem Scans • University of Michigan · Hurricane Sandy ZMap Scans • Rapid7 · Critical.IO Service Fingerprints • Rapid7 · SSL Certificates • Rapid7 · Reverse DNS
  22. 22. Critical.IO Service Fingerprints – Rapid7 • El proyecto critical.io descubría vulnerabilidades en todo IPv4 • Fue llevado a cabo de mayo 2012 a marzo 2013 • Se puede encontrar la información diaria en https://scans.io/study/sonar.cio
  23. 23. /rom-0 en 2014 • En Enero 2014 Team Cymru publicó un estudio donde exponen una red de •300,000 ruteadores infectados con DNS Pharming • La principal vulnerabilidad utilizada fue la decompresión del archivo /rom-0 del servidor RomPager
  24. 24. Router DNS Amplification DDoS 24 Millones de ruteadores con open DNS proxies En Febrero 2014 más de 5.3 Millones fueron utilizados para atacar
  25. 25. Router NTP Amplification DDoS “~7 millioninsecurely-configured NTP servers on the Internet, including services embedded in routers, layer-3 switches, and consumer broadband CPE devices” http://www.arbornetworks.com/asert/2014/02/ntp-attacks-welcome-to-the-hockey-stick-era/
  26. 26. Herramientas gratuitas para mejorar la seguridad de nuestro ruteador
  27. 27. Que es una Puerta Trasera? • Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft) • Método de acceso no documentado. • Comúnmente olvidado por los desarrolladores. • Frecuentemente es implementada a propósito y ocultada por los fabricantes. Administración expuesta a Internet Funciones / Interfaces redundantes Parámetros ocultos Cuentas comunes Configuración expuesta
  28. 28. Lista de puertas traseras comunes de México Marca Modelo Puerta trasera Acceso remoto Parche del ISP 7/5/2014 Detección por DPT Huawei HG5xxx Archivo de configuración con contraseña Si Si Si Huawei HG5xxx Generación de WEP en base a MAC Si No No Alcatel-Lucent I-240-W Cuenta de administración oculta Si Si Si Alcatel-Lucent I-240-W Generación de WPA en base a MAC Si No Si Technicolor TG582n Cuenta de administración oculta Si No Si TP-Link WDR740 URL de administración oculta No No Si Huawei HG824x Cuenta de administración oculta Si No No Ubee HG824x Cuenta de administración oculta Si No No Arris Varios Cuenta de admin con password del día Si No No Varias Varios Cuentas comunes de administración Si
  29. 29. Detector de Puertas Traseras v2.0 - Websec
  30. 30. Routerpwn 1.16.229 - Websec
  31. 31. Y ahora el momento que algunos estaban esperando…
  32. 32. Generador de clave WIFI para ONT Alcatel-Lucent I-240W-Q
  33. 33. Auditoría de dispositivos embebidos • Revisión de código fuente • Auditoría de vulnerabilidades del servidor y aplicativo Web • Auditoría de vulnerabilidades en HNAP, UPNP, SSH • Identificación de puertas traseras en diferentes protocolos Tenemos experiencia realizando estos servicios: info@websec.mx
  34. 34. Auditoría de HW de dispositivos embebidos • Identificación de componentes electrónicos • Comunicación por interface GPIO, SPI, I2C, JTAG, etc. • Extracción del contenido de la memoria • Análisis de vulnerabilidades del firmware extraído y desempacado • Emulación de código para dispositivos embebidos MIPS info@websec.mx
  35. 35. Explotación masiva de vulnerabilidades en ruteadores Pedro Joaquín Hernández pjoaquin@websec.mx @_hkm www.websec.mx www.hakim.ws www.underground.org.mx
  36. 36. Referencias • https://zmap.io/paper.pdf • http://nominum.com/news-post/24m-home-routers-expose-ddos/ • http://community.rapid7.com/servlet/JiveServlet/download/2150-1- 16596/SecurityFlawsUPnP.pdf • http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html • http://internetcensus2012.bitbucket.org • https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-to-project- sonar • https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf • http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-de-infinitum/ • http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/ • http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740

×