[vc_row][vc_column offset=”vc_col-lg-9 vc_col-md-9″ css=”.vc_custom_1452702342137{padding-right: 45px !important;}”][vc_custom_heading text=”” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_class=”no_stripe”][stm_post_details][vc_column_text css=”.vc_custom_1594924637109{margin-bottom: 20px !important;}”]Por: Kryptus

Em 2018, a Kryptus começou a analisar as inseguranças que poderiam estar presentes no roteador Wireless, da Intelbras, o Intelbras NCloud 300. Na ocasião, nossa equipe encontrou quatro vulnerabilidades que permitem que um atacante descubra diversas informações como a senha do usuário mestre, o login e a senha do usuário, senha definida para o receber sinal Wi-Fi da residência e reiniciar dispositivos não autenticados.

Qual o produto?

O roteador é um equipamento que transmite o sinal de Wi-Fi para diversos equipamentos, de forma sem fio ou cabeada.

Já o Intelbras NCloud 300, roteador produzido pela Intelbras, além de difundir o sinal de internet, também possui a proposta do usuário criar seu próprio armazenamento em “nuvem”, ou seja, em um servidor, podendo acessar de qualquer local, sem necessitar levar pen-drives ou HDs externos.

Entretanto, para o funcionamento desse serviço, é necessário que algum equipamento de armazenamento local, como um pen-drive, esteja conectado ao dispositivo. Assim, tudo que for baixado nessa nuvem poderia ser arquivado no equipamento com conexão USB.

Para essa nuvem própria funcionar, o roteador precisa estar conectado e exposto à internet e estar com um pen-drive conectado nele, na maior parte do tempo. E é aí que começa o problema.

As vulnerabilidades encontradas

Ao todo, foram encontradas quatro vulnerabilidades:

Unprotected Serial port (UART)

A primeira é relacionada a uma porta física do roteador, que é muito utilizada para o desenvolvimento do equipamento, entretanto depois de pronto, normalmente, essa porta e suas conexões são removidas.

Quando essa porta do Intelbras NCloud 300 é conectada a uma entrada de algum computador ou notebook, com um adaptador para transformá-lo para a conexão USB, o aparelho entrega uma sessão onde é possível acessar arquivos contendo a senha do usuário root. E com um programa de quebra de senhas, como o John the Ripper, facilmente é possível decifrar e encontrar a senha.

O usuário root é o usuário com maior permissão num sistema, que permite que quem quer que tenha esse acesso possa realizar diversos comandos ao dispositivo, de maneira a conseguir obter informações como os dados que arquivam as senhas do dispositivo.

Isso piora porque, com a senha do usuário root e um pen-drive conectado no roteador, para criar sua nuvem, o atacante tem acesso a todos os arquivos presentes no equipamento conectado a ele.

Além disso, com a senha, o invasor consegue acessar tudo e fica cada vez mais fácil conseguir acessar as informações expostas por conta das próximas vulnerabilidades.

A situação se agrava mais porque todos os roteadores desse modelo possuíam a mesma senha. Ou seja, quando um atacante descobre a senha do usuário root de um roteador, ele adquire a de todos e assim pode ter acesso aos arquivos de todos os clientes que possuíam esse equipamento.

E quando o roteador está conectado à internet, como o modelo de uso recomendado pelo fabricante, o resultado é a sua exposição e possível invasão por algum atacante.

Unauthenticated configuration backup

Tendo acesso ao dispositivo, de forma remota ou local,  o invasor pode fazer o request para o endpoint  /cgi-bin/ExportSettings.sh, que quando realizado, irá trazer um arquivo de backup, que inclui o login e a senha para o site que os clientes dos roteadores utilizam. Desta forma, o atacante tem acesso total ao roteador. Essa vulnerabilidade foi atribuída ao problema CVE-2018-11094.

Unauthenticated wireless password disclosure

Na terceira vulnerabilidade, o atacante pode utilizar o comando `/goform/updateWPS` para descobrir a senha da rede Wi-Fi do usuário.

Nessa mesma questão, o comando /goform/vpnBasicSettings também pode ser feito sem autenticação e, com ele, o VPN pode ser habilitado ou desabilitado.

NCloud 300

Unauthenticated device reboot

A quarta falha mostra que se o atacante usar o comando /goform/RebootSystem, ele reinicia o roteador, causando indisponibilidade do serviço.

NCloud 300

Como as vulnerabilidades foram encontradas

Os analistas de cibersegurança da Kryptus realizaram primeiro o teste local com o dispositivo, criando uma conexão UART, que com um adaptador consegue ser conectado em portas USB, desta forma, tiveram acesso a senha do usuário root.

Em paralelo, executaram os testes e foram descobrindo as outras vulnerabilidades.

NCloud 300

Recomendações para que não ocorressem as vulnerabilidades

Algumas recomendações de segurança poderiam ter sido seguidas para evitar essas falhas. A primeira, relacionada à primeira vulnerabilidade, é não possuir essa porta física nos equipamentos disponíveis e vendidos no mercado.

A segunda recomendação, que traria mais segurança e melhoria as outras fragilidades, é ter um melhor gerenciamento de sessão, para permitir que qualquer um dos comandos fossem realizados somente quando o usuário, estivesse logado – e testar se era o usuário mesmo.

Uma vez que esse roteador permitia que todos os comandos ditos anteriormente e que retornavam as informações que permitiam acessos aos dados do usuário fossem pedidos sem um usuário estar logado.

E agora?

No mundo da tecnologia, uma boa prática quando se descobre vulnerabilidades é avisar o fabricante do dispositivo e esperar uma resposta, principalmente antes de fazer qualquer post a respeito.

Quando as fragilidades foram descobertas, a Kryptus notificou a Intelbrás por e-mail, em 9 de maio de 2018. No dia seguinte, o e-mail foi respondido pedindo por mais detalhes.

Depois de repassadas, o fabricante informou que não iriam corrigi-las, pois o roteador estava sendo descontinuado, não tendo a Intelbras a possibilidade de desenvolver alguma atualização. E, por fim, concordou que a Kryptus publicasse um post demonstrando as vulnerabilidades. A Kryptus também desenvolveu um exploit para demonstrar as questões apresentadas neste post.

O modelo NCloud 300, pode ser encontrado para venda ainda hoje (Julho de 2019) no mercado.[/vc_column_text][vc_column_text]

Compartilhe

[/vc_column_text][stm_post_bottom][stm_post_about_author][stm_post_comments][stm_spacing lg_spacing=”80″ md_spacing=”80″ sm_spacing=”30″ xs_spacing=”20″][/vc_column][vc_column width=”1/4″ offset=”vc_hidden-sm vc_hidden-xs”][stm_sidebar sidebar=”527″][/vc_column][/vc_row][vc_row full_width=”stretch_row” css=”.vc_custom_1459505959648{margin-bottom: -60px !important;}” el_class=”third_bg_color”][vc_column][vc_cta h2=”SEGURANÇA SÉRIA, BASE DE HARDWARE SÓLIDA. PRODUTOS CRIPTOGRAFIA” h2_font_container=”font_size:20px|color:%23ffffff|line_height:24px” h2_use_theme_fonts=”yes” shape=”square” style=”flat” add_button=”right” btn_title=”saiba mais” btn_style=”flat” btn_color=”theme_style_2″ btn_align=”right” btn_i_align=”right” btn_i_icon_fontawesome=”stm-online-address” use_custom_fonts_h2=”true” btn_add_icon=”true” btn_link=”url:https%3A%2F%2Fnovo.kryptus.com%2Fprodutos-criptografia%2F|title:Produtos%20Criptografia||” el_class=”third_bg_color” css=”.vc_custom_1594599505206{margin-bottom: 0px !important;}”][/vc_cta][/vc_column][/vc_row]