Modding e reverse engineering IliadBox e ONT

samsepiol · 2023-03-22T15:09:00+00:00

Ciao a tutti, sono un ingegnere elettronico, nonostante non abbia avuto una formazione specifica sui temi delle reti mi diletto comunque con homelab e affini...

Daniel_e88

samsepiol Il chip contenuto supporta sicuramente 10G-EPON sia simmetrica che asimmetrica e dovrebbe supportare lato utente 10Gbps in diversi protocolli anche se con questa fonte non ci metterei la mano sul fuoco.

Il chip si, purtroppo l'uscita lato router è solo sfp 1gbe

samsepiol Con la Iliadbox ancora nessun successo perché tutto quello che riesco ad ottenere è un log del boot ma è tutto criptato e con secure boot. Finora ho trovato solo questo blog ed ho scritto all'autore per sapere come avesse ottenuto l'accesso root ma non ho avuto risposta.

Almeno secondo l'autore, la falla è stata chiusa dopo giugno 22, quindi si presuppone che le ultime versioni della IB ne siano esenti.

samsepiol

Daniel_e88 Stando alla "fonte" che ho trovato lato router/utente (detto UNI) ci sono 4 linee SGMII. Forse possono funzionare anche come una XAUI (4 linee a 3,125 Gbps per "interfacciamento" a 10 Gbps) oppure una di queste supporta anche XFI (10 Gbps). Può darsi anche che siano su pin diversi, magari basta "portarli fuori". Sul PCB ho visto anche una curiosa connessione tra pin dello stesso chip di una coppia differenziale, o magari ci ho visto male.

Il cavo SFP invece contiene una EEPROM da 512 Byte e ci sono dei test point molto comodi per riscriverla eventualmente.

Per quanto riguarda la iliadbox quella di eBay è abbastanza datata quindi ancora sfruttabile, ammesso di capire come abbia fatto.

Daniel_e88

samsepiol Stando alla "fonte" che ho trovato lato router/utente (detto UNI) ci sono 4 linee SGMII. Forse possono funzionare anche come una XAUI (4 linee a 3,125 Gbps per "interfacciamento" a 10 Gbps) oppure una di queste supporta anche XFI (10 Gbps). Può darsi anche che siano su pin diversi, magari basta "portarli fuori". Sul PCB ho visto anche una curiosa connessione tra pin dello stesso chip di una coppia differenziale, o magari ci ho visto male.

Seguo allora con estremo interesse eventuali sviluppi. Anche io da mesi sono alla ricerca di un modo per escludere la IB senza richiedere ad Iliad il loro ONT (il v2 non quello che hai attualmente tu, V1) che ha evidenti problemi, di fatti limitato a 1g nel cage sfp e non ci arriva nemmeno come dati

https://www.busyspider.fr/Free-fibre-optique-freebox-boitier-onu-version-2-presentation-schemas-branchements-photos-notice-installation.php

Questo è quello che attualmente consegna Iliad in regime di modem libero.

samsepiol

Daniel_e88 Avevo già visto quel tipo di ONT, ho provato anche a cercare quello che dicono funzioni a 10 Gbps invano. Però ho notato che quello ha una RAM aggiuntiva sulla scheda mentre questo che ho preso io non ce l'ha.

Come anticipato posto la riga di comando che ho trovato sulla seriale, in pratica è strutturata in directory, cioè si entra in una sotto-directory con il nome e si torna indietro con /.

- mac/
	- epon
	- user
- alm/
	- info
	- gpio
- debug/
	- mcast
	- mpcp
	- nco
	- rstp
	- sysd
- epon/
	- eponmac
	- usermac
	- dom
	- ponspeed
- fds/
	- erase
- load/
	- info
	- commit
	- setRecoveryPoint
	- runRecoveryPoint
	- rx
- mcast/
	- domains
	- groups
	- sources
	- reporters
	- igmpinfo
	- igmpsources
- mem/
	- rf
- mpcp/
	- info
	- failsafe
	- oltmac
- pers/
	- read
- serdes/
	- sdextlptest
- stats/
	- clear
	- gather
	- epon
	- fifo
	- lif
	- uni
	- xif
	- statsmode
- log/
	- show
	- level
- sysd/
	- frmdmp
- clionly
- clr
- ints
- reg
- reset
- set
- echo
- sftver

mac/epon epon/eponmac mac/user epon/usermac danno lo stesso risultato.
pers/read fa un dump delle preferenze in esadecimale, tra cui ci sono anche i MAC address.
Rimane da capire se e come si possano cambiare le impostazioni, ho provato ad usare set con vari parametri, non dà errore ma non cambia neanche niente.

samsepiol

Mi correggo, la traccia curiosa in effetti è il clock, quindi fin qui niente di utile. E ovviamente la flash è criptata anche se ho sperato fino all'ultimo che non lo fosse, però già il fatto che ci sia una linea di comando è qualcosa. Quando posso posto le informazioni.

Dimenticavo che ho trovato un cinese su taobao che vende degli "ONU-stick" 10G-EPON (in Cina è lo standard) solo che supportano solo simmetrico. Non hanno la lunghezza d'onda giusta per l'asimmetrico, anche se lui continua a dire il contrario. E poi costa l'equivalente di 200€, diciamo che già non ne vale la pena, poi senza garanzie non se ne parla per il momento.

Daniel_e88

samsepiol Avevo già visto quel tipo di ONT, ho provato anche a cercare quello che dicono funzioni a 10 Gbps invano. Però ho notato che quello ha una RAM aggiuntiva sulla scheda mentre questo che ho preso io non ce l'ha.

Purtroppo quello 10gbe è introvabile perché lo danno solo con il conratto business...

In totale esistono:
v1 (che hai tu)
v2 (quello da Iliad in Italia)
v2 pro (solo Free professional con uscita sfp+ 10g)

samsepiol Dimenticavo che ho trovato un cinese su taobao che vende degli "ONU-stick" 10G-EPON (in Cina è lo standard) solo che supportano solo simmetrico. Non hanno la lunghezza d'onda giusta per l'asimmetrico, anche se lui continua a dire il contrario. E poi costa l'equivalente di 200€, diciamo che già non ne vale la pena, poi senza garanzie non se ne parla per il momento.

Si lo avevamo già addocchiato su Hack-gpon, purtroppo essendo 10G-EPON simmetrico, non potrà funzionare visto che in TX deve parlare in 1310, asimmetrico quindi.

Ne ho largamente parlato con un utente di lafibre.info e secondo lui:

Here is a list of different 10G EPON ONU I've found:

Teleste's INT-1010EDS-ONU available here:
https://www.telesteintercept.com/products/10g-epon-onu-int1010eds/
Hitron NOVA 200x (there are plenty of different reference). NOVA 2004 (I think the nearest) is here:
https://us.hitrontech.com/products/service-providers/fiber-modem-routers/nova-2004-10g-xpon-ont-onu/
Cambridg Indurstri Group XE-99S (ou K) here:
https://www.directindustry.fr/prod/cambridge-industries-group/product-236815-2398564.html#
General board maker Cortina Access here:
https://www.cortina-access.com/sfu
=> you need to found some vendor that is using this board

samsepiol

Daniel_e88 Grazie per le informazioni. Purtroppo al momento sembra che nessuno di questi sia disponibile per l'acquisto, a parte il cinese di taobao che però non mi convince per niente.
Ho visto che c'è anche un altro stick, Hisense LTF7263, sempre con lo stesso problema del simmetrico. In realtà ci sarebbe il modo di capire se l'OLT supporta il simmetrico perché è una cosa a livello di link layer, però bisognerebbe poter ispezionare i log di un ONT.
Inaspettatamente dopo 3 settimane ha risposto il tizio del blog dicendomi che non può dirmi come ha fatto ad accedere alla shell della IB "per varie ragioni". Forse perché questa falla non è stata ancora corretta, quella che invece è stata corretta riguarda solo il secure boot.

Daniel_e88

samsepiol Ho visto che c'è anche un altro stick, Hisense LTF7263, sempre con lo stesso problema del simmetrico. In realtà ci sarebbe il modo di capire se l'OLT supporta il simmetrico perché è una cosa a livello di link layer, però bisognerebbe poter ispezionare i log di un ONT.

Io ho provato con un ODI che è sia gpon che epon, e impostandolo su epon 1/1, in RX non ricevo assolutamente nulla, questo mi fa pensare che gli sfp lato olt siano solo asimmetrici 10/1 o comunque solo 10g-EPON nonostante gli sfp lato olt in epon siano largamente compatibili sia con EPON che 10gEPON, tuttavia la mia prova non è probante ecco. Anche a me quelli di Hisense hanno detto che LTF7263 è sia asym che sym, peccato poi che nel datasheet tutto ciò non si rilevi:

Ti allego i dati dei 2 sfp 10gEPON

https://drive.google.com/drive/folders/1hqKaxUAIt7Q9O2lXILWLD2yxCces57sL?usp=sharing

Dovrebbero essere entrambi 1270/1577 invece che 1310/1577 come i 2 moduli di Iliad Hisense/WTD

samsepiol

Ieri approfittando di qualche minuto libero ho sintetizzato e caricato sull'FPGA un analizzatore logico che legge i dati dal transceiver. Per il momento ho sviluppato solo la sincronizzazione con la codeword e sembra funzionare, si aggancia e legge i dati correttamente. Di 8 acquisizioni di 1 MB ciascuna mi sembra che solo una contenga un pacchetto e probabilmente è di controllo, le altre contengono molti idle, ciò significa che sul ramo dove sono collegato probabilmente non c'è quasi nessuno con Iliad.
Ovviamente il trasmettitore è disattivato per evitare disastri.

La fibra me la sono fatta portare in cantina dove devo spostare l'homelab che attualmente è ancora a casa dei miei, poi ho portato un cavo a 8 fibre multimodali fino all'appartamento.

samsepiol

La rete Iliad sembrerebbe basata su DPoE, ossia DOCSIS Provisioning of EPON. Questo spiegherebbe il perché di tutta questa necessità di sicurezza per la Iliadbox. In pratica sono di nuovo punto e a capo perché senza le chiavi/certificati contenuti è tutto inutile.

Fosse stato semplicemente EPON sarebbe stato fattibilissimo, ma così non c'è speranza di compatibilità con niente sul mercato. Alla faccia del modem libero!

nanomad

samsepiol sarebbe molto carino se prima o poi ti andasse di documentare quanto hai scoperto sull'ont su hack-gpon, purtroppo su Iliad e epon latita un po' tutto e un sommario di quanto scoperto farebbe molto comodo

Edit: cmq se ti va di farmi un ping su telegram potremmo scambiarci qualche appunti visto che all'epoca ci avevo messo un po' mano. Il Nick è lo stesso del forum

Daniel_e88

Molto interessante!

samsepiol

Daniel_e88
E anche molto deludente purtroppo! Almeno però adesso abbiamo sfatato ogni dubbio sulla compatibilità anche per quanto riguarda i dispositivi che hai provato ad usare tu.

nanomad
Con piacere, ho visto quel wiki ed era estremamente interessante, però appunto non ho trovato una sezione su Iliad. Volendo posso pure mettere il progetto dell'FPGA come prova, tanto non è niente di ché.

samsepiol

Grazie a @nanomad ho scoperto che mi sbagliavo, la memoria dell'ONT v1 non è criptata. Dopodiché ho scoperto che la CPU integrata nel BCM55030 ha architettura ARCompact (big endian). Era proprio per questo che analizzando il dump con binwalk non dava risultati. Ora però con queste nuove informazioni è finalmente possibile fare un po' di reverse engineering almeno sul firmware questo ONT.

christian_mosele

In fine sei riuscito ad andare avanti con il progetto ? Hai novità interessanti da condividere ?

Massimo1980

Buon pomeriggio a tutti, ho di recente acquistato un iliadbox che vorrei collegare in cascata al mio iliadbox per aver un extender con qualche porta in più senza dover attaccare uno switch. Qualcuno e riuscito a modificare il sistema per permettere l'utilizzo del box in cascata? Grazie mille

TheMarsican

Massimo1980
Hai fatto la stessa identica domanda in tua discussione: non si può, hai acquistato un fermacarte.

Cavia

Salve,
vista la tematica molto simile, mi accodo clandestinamente a questa discussione. Sono un esperto di sicurezza informatica. Avendo un contratto internet con Iliad (conclamato a 5Gbit/s e 700Mbit/s) mi da fastidio avere la triste Iliadbox cappata a 2.5Gbit.
Lavorando in Francia, ho acquistato a due soldi una Freebox Ultra: e' il modello successivo della Freebox Pop (ovvero Iliadbox in Italia). La Ultra (sempre prodotta da Iliad) funziona e supporta perfettamente una connessione EPon con DPoE, ed ha la particolarita di avere una porta SFP+ in uscita (oltre a 4 porte a 2.5Gbit, ed una potenza hardware decisamente superiore).
Il mio obiettivo sarebbe di:
1 - rootare la Ultra (step difficile)
2 - injettare i dati di autenticazione dalla Pop alla Ultra (molti esperti con cui ho parlato ritengono sia solo il MAC address ed eventualmente il SN, e dovrebbero anche essere facili da recuperare)
3 - "vedere quante' profonda la" velocita' di Iliad 🙂
Per il primo step volevo partire da una interfaccia UART sulla PCB, ma non essendo un ingegnere elettronico ho qualche problema ad individuarla. Inoltre, se fosse come per la freebox pop (molto probabile) questa interfaccia ritornerebbe esclusivamente un log del boot (niente interazione).
Problema simile per il dump della FLASH che e' cryptata da un secure boot (OP-TEE version 3.7.0) gia' nella Freebox Pop (e quindi mi aspetto lo sia anche nella ULTRA). Inoltre e' anche un BGA e non ho gli strumenti per leggerla ed eventualmente risaldarla.

Considerando che e' possibile rootare la Freebox Pop (ma il tizio che l'ha fatto non ha rivelato i dettagli), se qualcuno ha altri approcci sia hardware che software, posso hostare una sessione video (Telegram oppure Discord per esempio) dove posso mostrare la board anche con microscopio ed eventualmente fare qualche tentativo.

Chi fosse interessato puo' aggiungermi su Telegram (contatto nel profilo).
Un saluto.

ALviK98

Cavia Ciao, sono in una situazione simile. Iliadbox con profilo 5Gbit. Ho un Freebox Ultra che uso come ripetitore wifi, anche perche al momento non ci posso fare altro.
Te per caso hai trovato qualche altra informazione al riguardo?

puntoacapo

Cavia Considerando che e' possibile rootare la Freebox Pop

Immagino tu ti riferisca a https://blog.xilokar.info/firmware-key-extraction-by-gaining-el3.html

Il tizio dice di aver reportato la vulnerabilità, ma non capisco se solo quella del bootloader o anche quella per ottenere root.
In ogni caso non mi sembra banale, soprattutto se non abbiamo un firmware decifrato da cui partire ad analizzare i binari sfruttabili per un exploit. Lato hardware c'è poco da fare secondo me, da seriale vedrai qualche log ma niente di importante e sicuramente non ti dropperà una shell.

Your best bet per usare la Ultra in Italia è provare a far uscire il tecnico e fartela associare tramite il suo applicativo, ma anche a quel punto non è scontato che funzioni visto che magari l'associazione S/N:chiave auth potrebbe essere un db diverso per italia/Francia e non un valore che viene calcolato al volo

Cavia 3 - "vedere quante' profonda la" velocita' di Iliad

Per questo puoi farti mettere modem libero e farti portare l'ONT Epon che con un cavo SFP+ DAC dovrebbe andare a 3+Gbit dalle testimonianze sul forum.
Magari puoi sfruttare l'occasione quando viene il tecnico a montare l'ONT per farti associare un seriale diverso

Cavia

ALviK98
Ciao, tutte le informazioni che ho le condivido qui. Nel mio post ho riassunto la maggior parte delle mie conoscenze.

puntoacapo
Esatto quasi su tutta la linea.
Col tizio ci ho parlato. E' il solito puffo francese e non vuole sharare nulla. Se ha riportato anche la vulnerabilita' di root allora il problema si moltiplica perche' la Ultra potrebbe essere uscita con il fix gia' implementato. Il suo consiglio e' stato di esplorare vulnerabilita' su versioni della Freebox piu' vecchie e puoi sperare che si estendano alla Ultra (giusto, ma abbastanza inutile).
Per il firmware, lui lo ha ottenuto facendo il dump della flash di una vecchia versione della Freebox pop che lo aveva ancora in chiaro (probabilmente poi lo ha utilizzato per ottenere root access su quella e poi sulla versione aggiornata della Pop).
Per il lato hardware hai ragione al 99%. Mi aspetto anche io solo un bootlog sulla UART (esattamente come avveniva nella Pop) assumento che sia abilitata, tuttavia esistono tecniche di glitching che (in alcuni casi) fanno fallbackare l'interfaccia seriale su una shell di controllo (che viene caricata a causa dell'errore provocato).
Un'altra tecnica e' quella di individuare delle shortcut per operare sulla device in modalita' recovery: per esempio il puffo aveva scoperto che shortando due pin di un connettore (eh... quale pero'?), la Freebox Pop entra in modalita' recovery e si aspetta un firmware (firmato) sostitutivo da caricare via ethernet.

L'associazione fatta' dal tecnico potrei provarla, sempre se accettano di farla. Dubito ci siano problemi di compatibilita' tra le linee Italia/Francia (ma e' possibile). Ma questo risolverebbe solo il problema per me, e non per gli altri utenti che sono interessati ad utilizzare a pieno la linea.

Non conosco nessun ONT EPon libero (che sia acquistabile) che restituisce una porta SFP+ (lato data) per fare questa prova. Dove hai visto questo test?
Edit: Ok trovato: iliad-epon-con-openwrt-e-net-neutrality
Ti posso garantire che hanno fatto qualche magheggio a livello firmware perche' il modello che davano in Italia ovvero F-MDONU05A aveva il cap a 1Gbps sulla porta dati.
Il modello francese che supportava infatti i 10Gbps era il P-MDONU05A (P starebbe per PRO), ed era quasi impossibile da acquistare.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile