Exploração do CVE-2018-20377

O CVE-2018-20377 afecta os dispositivos Orange Livebox ADSL.

Orange Livebox 00.96.320S devices allow remote attackers to discover Wi-Fi credentials via /get_getnetworkconf.cgi on port 8080, leading to full control if the admin password equals the Wi-Fi password or has the default admin value. This is related to Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, and Arcadyan ARV7519RW22-A-L T VR9 1.2.
NIST

Quanto são?

Comecei como sempre por perceber quantos dispositivos é que consigo aceder a partir do meu portátil. Encontrei cerca de 29,726 dispositivos em que pelo menos 7,403 estavam vulneráveis a esta falha.

Após saber quantos dispositivos estavam presentes na rede, procurei saber quais estavam vulneráveis.

Ser ou não ser?

Usei a PowerShell do Windows para fazer um pedido HTTP GET para /get_getnetworkconf.cgi para verificar o que se obtém no response body:

Não se obtém nada do que está descrito no CVE, apenas a versão do firmware do dispositivo 00.96.00.96.613E.

Continuei a pesquisa e fui estudar o dispositivo relatado no CVE.

Tentei de novo:

Como é possível verificar esta falha que existe nos dispositivos “Orange Livebox“, permite que utilizadores não autenticados obtem o SSID e a password WiFi.

Neste ponto podemos verificar que existem correcções para que esta falha não seja explorada, mas pelo menos 7,403 ainda estão.

E agora?

Fui tentar perceber o que poderia fazer mais. Continuei o estudo do equipamento e percebi que existe outro ficheiro interessante e fui verificar se conseguia aceder ao ficheiro adslinfo.html

Consegui aceder e percebi que a versão de firmware deste dispositivo era diferente.

Será que está bom?

Continuei a trabalhar nesta versão vulnerável e verifiquei ainda que para aceder à área administrativa a password era a padrão.

E se o local não existir?

Com o mesmo procedimento descrito fui perceber o que obtenho se tentar obter algo que não existe.

Conclusão

Continuei a investigar e percebi que as versões :

00.96.00.96.713D,E estavam corrigidas e não eram possíveis de serem exploradas mas como verificamos ao longo deste artigo é possível obter alguma informação.

00.96.00.96.609ES e 00.96.00.96.613 estão ainda vulneráveis.

Este género de vulnerabilidades permite o acesso directo a uma rede e a partir dai pode-se explorar todos os sistemas presentes.