Posts Tagged ‘cisco’

Spoko sytuacja.

Siedzę sobie w pracy i pytam w dziale czy ktoś nie pamięta może hasełka do takiego pokojowego urządzenia WiFi jakim jest WAP54Gv3. Niestety nikt nie odpowiedział pozytywnie. Cóż, będąc ostatnimi czasy podchmielony remote shellami wpisałem dla draki ‘remote spl0ita’ do tego Linksysa i goOgle nie zawiodło. W 2010 była taka tragiczna luka, że nawet nie wiem jakim cudem ją ominąłem w exploit-db.

Warto ją przypomnieć, bo to niezły skandal:

A debug interface allowing for the execution of root privileged shell commands is available on dedicated web pages on the device. Hardcoded credentials, that cannot be changed by user, can be used for accessing the debug interface

Adresy logowania (CGI):

init_GTK_auth> #”Debug_command_page.asp”

init_GTK_auth> . byte 0 adebug.cgi .ascii “debug.cgi*”<0>

Ok, linki spoko, ALE LOGIN I HASŁO?!

lw $a1, offset aGemtek  # “Gemtek”

addiu $a1, -0x58ec

lw $a1, offset aGemtekswd  # “gemtekswd”

addiu $a1, -0x58e4

Efekt:

wap54g

 

 

 

 

 

 

 

 

Dobrze, że to adm LVLAN bo byłby wstyd :).

Advertisements

Routercfg.cfg w Cisco RVS4000

Posted: 4 December 2011 in ITsec, Unix
Tags: , ,

Michał znalazł kolejną przypadłość sprzętu lidera w granicy SOHO. Podczas tworzenia backupu dla urządzenia tworzy się plik routercfg.cfg do następnego restartu routera (czyli stosunkowo długo). Podejście do pliku umożliwia dostanie się do konfiguracji routera bez autentykacji z poziomu przeglądarki. Cisco jak zwykle podeszło do sprawy profesjonalnie, reagując PSIRT’em już po trzech dniach od daty zgłoszenia. Potwierdzenie do wiadomości publicznej odbyło się (po wielu testach zapewne) w ciągu trzech miesięcy od zgłoszenia. Trochę długo, podejrzewam, że chodzi o klasę sprzętu, ale więcej o samym sploicie można przeczytać na stronie securitum.

Michał Sajdak, kolega z Securitum poinformował mnie, że na konferencji Confidence 2011 zaprezentował ciekawą podatność routerka klasy SBC. Pełny tekst dostępny jest na stronie Securitum. Aż dziw bierze, że na Ciscowym sprzęcie istnieje tak łatwa podatność, aczkolwiek należy brać pod uwagę, że to nie IOS, a Linux-based OS. Dodatkowo Michał wskazał też prostą metodę na wyjęcie certyfikatu SSL do VPN’u poprzez podanie do routera operacji GET do RVS_4000Admin.pem.