Z tego routera do mobilnego internetu można komuś zdalnie zdjąć blokadę Premium SMS i nabić rachunek

Routery mobilne Alcatel Link Zone (OneTouch MW40) były podatne na atak pozwalający na wysyłanie niechcianych SMS-ów i kodów USSD. Dziurę odkrył i opisał nam Michał Korus, a my zgłosiliśmy sprawę Alcatelowi i przypilnowaliśmy by ją załatano. Pomógł nam w tym operator Play.

Dziurawy router mobilny == wysokie rachunki

Zanim opiszemy atak na mobilny router Alcatela, chcieliśmy zwrócić uwagę, że więcej modemów mobilnych innych producentów także może być podatnych na tego typu ataki, w wyniku których ktoś może zdalnie wysłać z modemu SMS lub kod USSD i zdjąć blokadę Premium SMS-ów, a następnie nabijać abonentowi rachunki.

W listopadzie ubiegłego roku opisywaliśmy przypadek Czytelnika, któremu ktoś nabijał rachunek mimo blokad Premium SMS-ów. Czytelnik posiadał router TP-Link TL-WR1043ND. Sprawie przyjrzał się operator (Plus) i doszedł do wniosku, że albo na komputerze użytkownika był malware, albo ktoś uzyskał fizyczny/zdalny do urządzenia i wysyłał z niego SMS-y znoszące blokady Premium Rate. Teraz wiemy, że wektor ataku mógł być taki jak w przypadku routera Alcatel, który jest bohaterem tego artykułu.

Zauważmy też, że podobny problem dotyczył również klientów T-Mobile, gdzie przynajmniej jeden ze sprzedawanych przez operatora modeli routerów był podatny na atak polegający na wysyłaniu SMSów Premium z konta użytkownika. Nie wiemy z jakim routerem był problem w T-Mobile — operator nie chciał nam ujawnić jego nazwy.

Gdzie był problem?

O luce w oprogramowaniu routerów Alcatel Link Zone (OneTouch MW40) powiadomił nas Michał Korus, badacz bezpieczeństwa, uczestnik naszych szkoleń dotyczących testów penetracyjnych i nasz Czytelnik. Oto co zauważył.

System logowania dostępny na routerze Alcatel LinkZone (i nie tylko) służy tak naprawdę tylko i wyłącznie do odblokowania interfejsu użytkownika. Nie są tworzone żadne cookie, nie jest przekazywany żaden klucz który służyłby późniejszej autoryzacji. Będąc niezalogowanym jestem więc w stanie odczytać wszelkie dane dostępne na urządzeniu: SMSy, listę kontaktów. Oczywiście ten przypadek jest skrajny bo musiałbym być podpięty do danego urządzenia i wysłać do niego odpowiednie requesty. Odczyt danych przez wrogą stronę internetową nie powiedzie się z uwagi na CORS. Jest jednak drugi przypadek.
Urządzenie pozwala również na wysyłkę SMS’ów a w tym przypadku nie potrzebuję już zwrotnej informacji. Co więcej dane SMS’y mogę później usunąć, aby zatrzeć ślady. Mogę również skorzystać z kodów USSD, aby włączyć obsługę kodów premium jeśli takowe są zablokowane.

Michał zauważył też, że większość operacji wykonywana jest po API urządzenia (http://192.168.8.1/jrd/webapi?api=…) toteż sama ochrona w postaci cookie sesyjnego może być niewystarczająca (z uwagi na ataki typu CSRF).

Producent musiałby dodatkowo w wywołaniach API umieszczać (jednorazowy?) klucz i go weryfikować. Raczej nie ma tu prostej ochrony na ten atak. Klient webowy dostępny na urządzeniu to GoAhead_Webs/2.5.0 (swoją drogą mogliby ten nagłówek ukryć). Wersja oprogramowania: MW40_F2_02.00_02 czyli najnowsza.

Michał przyjrzał się routerowi pochodzącemu z dystrybucji operatora Play, ale ten sam problem występował na urządzeniach od innych operatorów.

Jeśli chcielibyście zgłębić temat podobnych ataków to sporo informacji znajdziecie na blogu Jamesa Hemmingsa, który w sierpniu 2017 r. opisał podobny problem. Kilka luk umożliwiało potencjalnemu atakującemu reset urządzenia, zmianę jego konfiguracji, wysłanie SMS-ów czy forwardowanie SMS-ów. Takiego ataku można dokonać np. tworząc stronę internetową, która skłoni użytkownika-ofiarę do prostej interakcji.

Demonstracja ataku

Michał Korus zauważył, że te same ataki dało się przeprowadzić na wspomnianych Alcatelach. Miał rację. Stworzył też prostą stronę umożliwiającą przetestowanie podatności — formularz ze skryptem umożliwiającym wysłanie wiadomości SMS.

Później ta strona została rozszerzona o różne rodzaje ataków, z możliwością zmiany adresu IP routera. Znajdziecie ją pod adresem http://alcatel.kormichu.com/. Jeśli będziecie przeprowadzać testy na swoim urządzeniu, zwróćcie uwagę na IP routera. Urządzenia w sieci Play mają stronę logowania pod adresem 192.168.8.1, ale np. do urządzeń w sieci Aero2 logowało się przez adres 192.168.1.1.

Zgłaszamy lukę Alcatelowi

Michał zgłosił sprawę nam bo sądził, że pojedynczy badacz może mieć problem z poruszeniem Alcatela. Obawy okazały się uzasadnione. W ostatnim dniu listopada 2017 roku zwróciliśmy się do rzeczniczki Alcatela na Europę pani Sigrid Fandrey. Opisaliśmy problem, dorzucając link do strony umożliwiającej przetestowanie podatności. Sigrid Fandrey odpisała nam jeszcze tego samego dnia, że “niebawem” wróci do nas z odpowiedzią.

Czekaliśmy i czekaliśmy. W grudniu postanowiliśmy przypomnieć o sprawie, a na początku roku zaatakowaliśmy z innej strony. Powiadomiliśmy Play i przekazaliśmy sprawę osobie odpowiedzialnej za bezpieczeństwo informatyczne w tej firmie. Wkrótce dostaliśmy zapewnienie, że ludzie z Play “nacisnęli na Alcatel” i otrzymali obietnicę załatwienia sprawy.

Później skontaktował się z nami ktoś zbliżony do Alcatela. Dowiedzieliśmy się, że sprawa luki w oprogramowaniu MW40 trafiła do działu R&D Alcatela “dość okrężną drogą”. Mimo to rzekomo już w pierwszym tygodniu stycznia było gotowe oprogramowanie z poprawką dla urządzeń open market (możliwe więc, że rzeczniczka przekazała to komu trzeba). Nasz informator nie powiedział nam co dokładnie zrobiono. Przyznał jednak, że przed zastosowaniem łatki możliwe było wysyłanie SMS-ów z użyciem strony testowej stworzonej przez Michała. Po wgraniu patcha ta dziura zniknęła. Dowiedzieliśmy się, że przygotowano łatkę dla Play i “lada moment” miały być gotowe wersje także dla T-Mobile i Orange.

Później jeszcze raz skontaktował się z nami Play i otrzymaliśmy router do testów. Mogliśmy potwierdzić, że na załatanym oprogramowaniu nie da się ani wysłać SMS-ów, ani kodów USSD. Nie udało się również wykasować SMS-ów czy ustawić przekierowań.

Serdecznie dziękujemy ludziom z Play za bardzo profesjonalną i sprawną współpracę. Szkoda, że Alcatel nie przedstawił nam żadnych wyjaśnień, ale przynajmniej załatano dziurę.

Mam Alcatel Link Zone. Co robić? Jak żyć?

Na stronie alcatel.kormichu.com dostępne jest narzędzie umożliwiające sprawdzenie podatności Twojego routera. Jeśli wysłałeś SMS-a lub kod USSD z poziomu tej strony, najwyraźniej masz problem. Koniecznie zaktualizuj oprogramowanie swojego routera i najlepiej powtórz test.

Ile trwa usuwanie dziury i wypuszczenie łatek?

Na koniec przyjrzymy się, ile czasu w takim modelu (producent sprzętu -> różni operatorzy -> użytkownicy końcowi) trwa usuwanie, jakby nie patrzeć, poważnego błędu. Pół roku. Popatrzmy na terminy.

Pierwsze zgłoszenie do producenta od nas to listopad 2017. Nasze źródło zbliżone do Alcatela dopiero na początku lutego informowało nas, że urządzenia open market mają dostępne łatki, a operatorzy mieli wdrożyć poprawki lada chwila. Nieco później ustaliliśmy, że Orange otrzymał łatki do testów, ale testy wykazały problemy i czas łatania się wydłużył. Dopiero 26 marca dostaliśmy wiadomość, że urządzenia Orange były po testach, a “proces akceptacyjny po stronie Alcatel także został już zakończony”. W tym samym czasie od pracowników Play dziś dowiedzieliśmy się, że poprawione oprogramowanie jest dostępne dla klientów poprzez FOTA (wysyłanie aktualizacji firmware na urządzenia). Michał potwierdził, że aktualizacja na urządzenia Play wyszła w poniedziałek (9 kwietnia). Jest tylko jeden problem — aktualizacja nie instaluje się automatycznie. Trzeba ją ręcznie “wyklikać”, co wszystkim wam polecamy.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *