[Falso Allarme] Ho bucato il Fritz!Box 7490 FRITZ!OS: 07.21

LucaTheHacker · 2020-12-02T09:42:30+00:00

MOD EDIT: Alcune ore dopo la pubblicazione l'OP ha rettificato che la falla a cui faceva riferimento non esiste. Vedi qui per maggiori informazioni. Penso...

hitech95

Non ricordo dove lo avevo letto di preciso ma c'era una banca/azienda che cercava sviluppatori fortran prechè il backend del sistema delle carte di credito aveva un bug/falla (o quel che è) e dovevano sistemarlo.

E te ti lamenti per 40 caratteri numerici....
Le bache sono un castello di carte costruito su SW parecchio vecchi, molti dei quali stanno talmente in basso nella piramide che devi bucarne diversi prima di arrivarci.

LucaTheHacker

hitech95 E te ti lamenti per 40 caratteri numerici....

è sempre la storia del "tanto non succede", poi succede e tutti a piangere.

L'unica spiegazione che mi posso dare è che lo abbiano fatto per impedire agli utenti di usare quella stessa password su altri siti, perché parliamoci chiaro, chi sarebbe mai così (mi dissocio) da usare solo 0-9 su un sito normale?

Technetium

hitech95 Non ricordo dove lo avevo letto di preciso ma c'era una banca/azienda che cercava sviluppatori fortran prechè il backend del sistema delle carte di credito aveva un bug/falla (o quel che è) e dovevano sistemarlo.

Ma che fortran.. richiedevano COBOL !
A dispetto degli anni, tanti backend bancari sono in questo linguaggio.
Diverse aziende hanno fatto tentativi di riscrittura in linguaggi più moderni che si sono rivelati fallimentari perchè avevano prestazioni inferiori e la maggiore complessità del debug.

Non è un caso che le banche "tradizionali" gestiscono il canale più moderno con sistemi completamente separati.

LucaTheHacker Mi riferivo alle banche che inviavano l'otp via sms, quello di fritzbox è sicuro, ho ri-provato a bypassarlo con lo stesso modo e non ha funzionato.

Se gestito bene è sicuro. Che poi la sicurezza dipenda dalla sicurezza del telefono è cosa nota da sempre.

LucaTheHacker

stemax97 un conto è già avere la possibilità di usare i caratteri, ma qui stiamo parlando di solo numeri, con un massimo di 40. la tecnica del salt è utile solo se poi procedi a fare un hash, perché altrimenti non ci vuole molto a rendersi conto che tutte le password iniziano nello stesso identico modo in caso di dump. Gli hash sono perfetti per salvare le password, ma se usi un hash non hai bisogno di mettere un massimo di caratteri o una restrizione di caratteri (in questo caso solo numeri). In ogni caso, con un hash, chiunque potrebbe usare la sua password e scegliere come loggarsi senza restrizioni, sia il maniaco con 16384 caratteri di password, sia il tizio con il DTMF.

[cancellato]

LucaTheHacker Sì, sbagli. Lo capirai con le esperienze nel mondo del lavoro 😉

Se un sistema è isolato (air gapped), che mi frega che abbia le ultime patch di un protocollo di rete? Niente.
Se un mainframe usa sistemi operativi proprietari, di origine anni '80, che mi frega che non ci siano le patch di Windows? Niente, non lo usa...

[cancellato] Se non ha fatto nomi o dato indizi precisi non è che ci siano le condizioni per una denuncia

Quello che ha scritto qui, no. Se scrive altro sui social o parlando con estranei, non ne sarei così sicuro. Comunque il nome dell'istituto l'ha scritto in un messaggio.

[cancellato] Per dire c'è una nota banca dove la password può essere di soli 8 caratteri e i primi 4 devono essere numeri.

Io so di una online che limitava a 8 caratteri, dando suggerimenti assolutamente deboli agli utenti, e l'anno scorso è finita anche sui giornali per questa cosa.

LucaTheHacker Gli hash sono perfetti per salvare le password

No, sono il male minore, ma decisamente siamo fin troppo OT.

LucaTheHacker

[cancellato] Può avere senso

Come fa "non usare un hash" ad avere senso?

Riegel

mpanella letto affermazioni veramente gravi su banche commerciali

Beh non è mistero che i soldi sono sempre più al sicuro sotto al materasso che non dentro alle banche commerciali varie. Se poi devo considerare come mi guardano dall'alto in basso quando vado a prendere o a portargli i miei soldi capisci perchè non stiano molto simpatici a nessuno.

LucaTheHacker Per quando riguarda le 2FA nel 90% dei casi te le mandano per SMS

E in ogni caso funziona per l'utente medio (che è lo stesso a cui va bene Linkem) ma non per uno un attimo più sgamato. Per me è solo una gran rottura di balle in più che non mi da un concreto vantaggio

[cancellato] stai molto molto attento a quel che dici (soprattutto "su piazza") se vuoi entrare nel settore security, meno si sa di ciò che scopri e meglio è.

Però questa mentalità non aiuta nessuno, ne chi vuole semplicemente capire e nemmeno il dipartimento di sicurezza che non sa come migliorarsi.
Anzi, sembra tanto quello di una nota azienda di telecomunicazioni che adesso si trova ad essere in lotta per la sopravvivenza, e ci prova con ogni metodo.

[cancellato] ci sono client storici o clienti che devono comunicare con i sistemi, o metti caso che il cliente la password la deve inserire via telefono con tastiera DTMF? Come le fa le lettere?

O si evolve o soccombe, esattamente come ha fatto amazon con i piccoli negozi.

LucaTheHacker Area clienti TIM sei tu? Oppure un altro a caso, Iliad?

LucaTheHacker Come ti ha detto @[cancellato] , più i sistemi sono vecchi e più conosci il comportamento dei suddetti sistemi, e sai anche quali sono i bug e come prevenirli/aggirarli.

QRDG Considerate che molti CAF/patronati usano ancora le mail @Libero.it nonostante sia stato hackerato 5000 volte, e il bello? Sulla scrivania c'era un foglio di carta con mail è password e chiunque passava vedeva, ovviamente non sono un malintenzionato, e il fatto che usino ancora Windows XP sul loro pc principale, al quale attaccano di tutto? che dovrei dire?

Potrei anche chiederti "Come mai tanta gente si è fatta truffare dalle cassate che sparava Vanna Marchi assieme a Do Nascimiento?"
La risposta la avrei, ma è cattiva

[cancellato]

LucaTheHacker La domanda dunque diventa: "perché lo usano ancora"?

Perché è ubiquo, e quasi chiunque ha un dispositivo in grado di riceverli. Non tutti hanno uno smartphone, e i token fisici costano. Come vedi la 2FA del Fritzbox è stata semplicemente implementata usando i tasti del router o un telefono collegato. Questa evita di dover mantenere una app o distribuire token fisici. E così funziona anche se il router non ha connettività con l'esterno, e non deve avere a bordo uno specifico supporto crittografico sicuro per gestirla in locale. Certo, non è il massimo dell'implementazione, ma è pur sempre un router consumer.

[cancellato] Se scrive altro sui social o parlando con estranei, non ne sarei così sicuro. Comunque il nome dell'istituto l'ha scritto in un messaggio.

A meno che non indichi esattamente come bucare qualcuno, o non sei in una posizione da creare grave danno con le tue dichiarazioni sei nei limiti della libertà di opinione. Anche nella stampa specializzate vedi opinioni sulla sicurezza di questa o quell'azienda - basata su fatti e avvenimenti passati - e non vedi partire cause.

Altrimenti questo thread stesso andrebbe cancellato perché nuoce all'immagine di AVM? Certo se poi si rivelasse che falla non esiste sarebbe opportuno metterci una bella correzione in testa. Del resto si era limitato a chiedere come fosse meglio segnalare quanto aveva trovato ad AVM. C'è chi lo spara direttamente anche su Twitter, magari con tanto di PoC.

Dark-Vex

[cancellato] Io so di una online che limitava a 8 caratteri, dando suggerimenti assolutamente deboli agli utenti, e l'anno scorso è finita anche sui giornali per questa cosa.

[OT] questa è colpa mia 😂 avevo aperto da pochissimo un conto con loro (Novembre 2019), appena ho notato questa cosa, l'ho fatto presente ad un mio amico CISO abbastanza conosciuto, che è poi la persona che ha spammato su Twitter e giornali (ed ha risposto ad alcune domande su Wired) [/OT]

LucaTheHacker

[cancellato] Le debolezze degli SMS (ed il fatto che possono essere letti da altre app) e del protocollo SS7 sono ben note.

La domanda dunque diventa: "perché lo usano ancora"?

hitech95

LucaTheHacker
https://it.avm.de/.well-known/security.txt
Prova a contattarli anche li.

Hadx

Il thread è sulle vulnerabilità del Fritz!Box, non divaghiamo.

LucaTheHacker

[cancellato] Certo, non è il massimo dell'implementazione, ma è pur sempre un router consumer

Mi riferivo alle banche che inviavano l'otp via sms, quello di fritzbox è sicuro, ho ri-provato a bypassarlo con lo stesso modo e non ha funzionato.

hitech95

Technetium
Pardon, fa poca differenza. Sempre di quel periodo sono 😛

LucaTheHacker

Alla fine signori, la falla non esiste, semplicemente il fritzbox gestisce in una maniera "particolare" le sessioni.

Le sessioni, invece di essere salvate nei cookies, vengono salvate in una variabile in mezzo al codice javascript.
Ogni volta che si fa una richiesta quel parametro viene passato e funge da autenticatore, sostituendo il cookie di sessione.
All'interno del sistema di fritz il "token" viene disabilitato solo se viene eseguito un logout forzato o se l'ultima operazione risale ad oltre 20 minuti fa, dunque, durante i test che ho fatto, il token non scadeva e non aveva motivo di farlo.
Visto che il token di autenticazione è all'interno della richiesta, quando veniva eseguita una richiesta falsa veniva passato anche quel parametro, rendendo così tutto regolare.
Dunque, durante i test, ero effettivamente autenticato, ma non sapevo di esserlo.

http://10.8.0.1/internet/inetstat_monitor.lua
sid: TOKENDISESSIONE
myXhr: 1
action: get_graphic
useajax: 1
xhr: 1
t1606914120128: nocache

Questa è una richiesta per prendere i grafici di utilizzo del fritz, per mia cattiva abitudine premo f5 per aggiornare i dati (perdendo la sessione), invece di usare il bottone apposito.
Dunque, ogni volta che cambiavo sezione il parametro sid cambiava, non essendoci una documentazione ufficiale ero convinto fosse qualcosa in stile "section_id", quindi per indicare la sezione che si stava utilizzando.
Quindi falso allarme, il fritz funziona normalmente e il login da remoto non è fallato, semplicemente ero autenticato e non lo sapevo.
Avevo anche provato a cambiare il sid con un altro sid facendo la stessa richiesta, appunto per verificare che fosse un qualcosa indicante l'id della sezione e non un account, ma per qualche motivo quella richesta non andò a buon fine, spingendo ancora oltre la mia sicurezza del section_id.

Ancora non mi spiego come sia stato possibile bypassare la 2FA, ma non riesco a riprodurre lo stesso comportamento.
Avevo già il sospetto che ci fosse qualcosa di sbagliato, la mia idea era talmente stupida che non sarei mai stato il primo ad accorgersene, ci ho sperato fin troppo, ed in effetti avevo ragione a dubitare sul metodo.
Sentitevi liberi di blastarmi nei commenti.

Valeri0p

LucaTheHacker Avevo già il sospetto che ci fosse qualcosa di sbagliato, la mia idea era talmente stupida che non sarei mai stato il primo ad accorgersene, ci ho sperato fin troppo, ed in effetti avevo ragione a dubitare sul metodo.

Non bisogna mai farsi prendere dall'euforia 😉

Sentitevi liberi di blastarmi nei commenti.

/Ot
A proposito di quello che dicevi prima sul fatto che basta memorizzare una password come il suo hash per stare tranquilli, lo sai cos'è una rainbow table?
\ot

CPietro

Sarebbe da precisarlo nel titolo e nel primo messaggio, non sia mai che AVM se la prenda...

hitech95

Praticamente il backend del fritz è stateless e usa il token via header per l'autenticazione?
Ma se tu facevi richieste HTTP, come ci finiva il token dentro? Era in un cookie?
Se era in una variabile javascript AFIK questa non viene passata dal browser.

E comunque:
Ho recuperato l'IP del AVM che ho attivo a venezia.
Ho lanciato una NMAP cè solo SIP aperta sulla 5060.

LucaTheHacker

hitech95 Io stavo taroccando paro paro la richiesta che faceva l'interfaccia, quindi in mezzo ci ho buttato pure il sid. Il codice, durante la sua normale esecuzione, aggiunge quella variabile a tutte le richieste.

hitech95 token via header

No, sta direttamente in un parametro post

hitech95

LucaTheHacker
Uhm.... quindi il sid è il token? PRovaloa passare su un parser JWT magari è un token di quel tipo...
Se non ricordo male l'intefaccia degli aVM era basata su LUCI, quindi useranno un token simile.

Effettivamente ora le cose si ricollegano.

LucaTheHacker

hitech95 Non è un token JWT, avevo già controllato.

da quel che ho capito è un md5 generato dal sistema e verificato dal router, con una parte variabile che è il "challenge", fornito dal router su /login_sid.lua

LucaTheHacker

hitech95 Se non ricordo male l'intefaccia degli aVM era basata su LUCI, quindi useranno un token simile.

e04bfba987f85158
Questo è un token che ho appena generato, ovviamente già invalidato.

LucaTheHacker

@Hadx visto che sei nella discussione, mi riesci a modificare il titolo in "Come non ho bucato il mio fritz"? Thanks

edofullo

LucaTheHacker Quelli li LuCi mi sembrano più lunghi (Chaos Calmer)

8d3ed0f53bcf4627c4df8d5b1033aa3f

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile