Explotando CVE-2018-9995 y CVE-2018-10676 Multi DVR Login 

Hola Mundo 

Ultimamente he estado trabajando con el tema de camaras de seguridad y/o Video vigilancia, y como muchos ya sabran existen
multiples formas de acceder a ellas desde la vieja y confiable:

inurl:"/view/view.shtml"

El tipico Dork para algúnos modelos de  camaras AXIS,  hasta los CVE por parte del buen Ezequiel (@capitan_alfa),
de los cuales hoy vamos a realizar una pequeña PoC. 

Estas vulnerabilidades afectan a multiples DVR alrededor del mundo, permitiendonos acceder a las credenciales
de los usuarios que el sistema tenga registrados, incluida la cuenta de administrador (Por supuesto), para comenzar
vamos a relizar una busqueda en Shodan para encontrar los dispositivos DVR conectados.

"Server: GNU rsp/1.0"

 
Puedes encontrar aun mas dispositivos con:

html:"/login.rsp" 

Como podran ver hay algunos miles de estos DVR conectados a la red, y su acceso tiene una vista como esta:



La primer vulnerabilidad nos permite obtener acceso al sistema (a las credenciales) mendiante una cookie que
internamente el sistema reconoce como "UID" que cuando se envia configurada con el valor "ADMIN" nos brinda el acceso al sistema,
bien podrias agregar manualmente esta cookie en el browser (MANTRA) o bien podrias ganar acceso a las credenciales mediante la terminal con la ayuda de curl.

$> curl "http://<DVRHOST>:<PUERTO>/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"

Una vez realizada la peticion obtendremos acceso a los usuarios y contraseñas del DVR



Ezequiel subio a su Github el exploit (tool) para ésta vulnerabilidad, dejo el enlace para quien lo requiera.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,

Ataques minimalistas

La segunda vulnerabilidad nos permite acceder a las contraseñas del sistema
mediante la descarga y posterior visualización de la configuración del DVR.

Nuevamente nos apoyamos de CURL para solicitar el archivo de configuracion:

$> curl "http://<host>:<port>/download.rsp" --output allConfig 

Una vez descargado nos apoyamos de hexeditor para descubrir los datos:

$> hexeditor allConfig

Tras una breve revision con el visor hexadecimal podemos reconocer los
usuarios y contraseñas del sistema de video vigilancia.



Basta con ingresar las credenciales que recolectamos y listo.


En conclusion tenemos multiples formas de acceder a estos DVR incluso si se llegan a agregar usuarios o cambiar contraseñas
y en caso de que no quisieras seguir el proceso el pass por defecto en estos DVR es admin:admin   


Hack The World 

Vulnerable RSA Generation (CVE-2017-15361)

---

Como el "KRACK" ya no es suficiente haha .  Ahora estamos frente un nuevo fallo GRAVE de seguridad,
al cual se le ha llamado ROCA: Return of Coppersmith's Attack (CVE-2017-15361)

Una gran cantidad de dispositivos Windows y Chromebook de Google creados por Fujitsu, HP y Lenovo
se encuentran entre los afectados, el número confirmado actualmente de claves vulnerables encontradas
es de aproximadamente 760,000.

El problema se encuentra en los chips Infineon y tiene que ver con la implementación del cifrado por parte
del proveedor, basado en este caso en el estándar RSA ampliamente utilizado, gracias a esta vulnerabilidad
es posible calcular la clave privada de alguien con solo tener la clave pública.

Algunos fabricantes ya estan solucionando este problema por lo que se recomienda buscar e instalar
los parches de seguridad, tambien puedes verificar si tu clave publica es vulnerable en el enlace que te dejare abajo.

ROCA Vulnerability Test: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En algunas horas estaré compartiendoles mas detalles sobre este fallo GRAVE de seguridad que sin duda
supera por completo al recién descubierto KRACK ATTACK





Dhave Security

Que onda Hackers 

---

Muy seguramente ya están enterados que el protocolo WPA2 ha sido Vulnerado (Todo el mundo hablara de esto en unas horas creeme), desde hace algún tiempo había estado escuchando rumores de una vulnerabilidad critica en wifi que habia sido parchada en secreto para entornos OpenBSD, de la cual no se dio ningún tipo de explicación, este rumor se ha confirmando y se ha descubierto que no solo afecta a OpenBSD Si no a TODOS los dispositivos compatibles con este protocolo, por lo que aqui les comparto la demo de Mathy de como funciona este ataque.

Pero antes de pasar a la prueba de concepto entendamos un poco de como funciona KRACK ATACKS

¿Listos? 

La idea detrás de un ataque de re-instalación de clave se puede resumir de la siguiente manera. Cuando un cliente se une a una red, ejecuta el enlace de 4 vías para negociar una nueva clave de cifrado.Instalará esta clave después de recibir el mensaje 3 del Handshake de 4 vías. Una vez que se instala la clave, se usará para cifrar los marcos de datos normales utilizando un protocolo de encriptación. Sin embargo, como los mensajes se pueden perder o descartar, el Punto de acceso (AP) retransmitirá el mensaje 3 si no recibió una respuesta apropiada como acuse de recibo. Como resultado, el cliente puede recibir el mensaje 3 varias veces. Cada vez que recibe este mensaje, reinstalará la misma clave de cifrado y, por lo tanto,
reiniciará el número de paquete de transmisión incremental (nonce) y recibirá el contador de reproducción utilizado por el protocolo de cifrado.

Un atacante puede forzar estos restablecimientos nonce recopilando y reproduciendo retransmisiones del mensaje 3 del saludo de 4 vías . Al forzar la reutilización del nonce de esta manera, el protocolo de encriptación puede ser atacado, por ejemplo, los paquetes pueden ser reproducidos, descifrados y / o forjados. La misma técnica también se puede utilizar para atacar a la clave de grupo, PeerKey, TDLS, y rápido enlace de transición BSS.

Calma calma que dije solo un poco, la información completa la encuentras aquí. La pagina official

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El investigador en seguridad Mathy Vanhoef ha publicado ya algunos detalles sobre este ataque y aunque las herramientas para explotar esta vulnerabilidad aun están en modo privado
hasta que los fabricantes publiquen los parches, Mathy publico una demostración de KRACK ATTACKS en Acción:

---

Dhave Security
www.dhavesecurity.com

El equipo de Mathy Vanhoef ha descubierto varias vulnerabilidades de administración de claves
en el protocolo de seguridad Wi-Fi Protected Access II (WPA2).

Estos pueden explotarse utilizando los llamados ataques de reinstalación de claves.
Dado que se trata de un problema de nivel de protocolo, la mayoría de las implementaciones correctas del estándar se ven afectadas.
Dicho de otra manera, la mayoría de las redes Wi-Fi protegidas, incluidas las redes WPA2 personales y empresariales, se ven afectadas.
Todos los clientes y puntos de acceso que se probaron en la práctica fueron vulnerables a alguna variante del ataque.

Los métodos y la información completa sobre este nuevo vector de ataque
serán publicados durante la charla de Mathy en Black Hat Europe 2017

Sin embargo se asegura que en unas horas tendremos mas detalles e informacion
sobre este tema, del cual por supuesto estaremos muy al pendientes, para mantenerlos informados.






Pendientes Hackers 


Dhave Security
www.dhavesecurity.com

Que onda Hackers,     

Ya hace algun tiempo me he decidido a redactar  y compartir
material en cuanto a temas de seguridad, pentesting, etc.
Por tanto estare publicando algunas cosillas por aqui.

---

Muchas veces dentro del proceso de Information Gathering
es de gran ayuda contar con direcciones de correo de empleados
que pudiesen ayudarnos a conseguir nuestro objetivo. Cuando realizamos un
analisis de vulnerabilidades de tipo "White Box" puede que estos se nos faciliten
por el cliente sin embargo en un analisis de caja negra "Black Box", toca buscar esto a mano
asi que iniciemos con el primer metodo:

Metasploit Framework:

Metasploit cuenta con un Auxiliar de recoleccion de emails,  y para hacer uso de el
necesitamos principalmente iniciar la base de datos para el correcto funcionamiento de metasploit:

service postgresql start

Posteriormente iniciamos los servicios de metasploit con:

msfstart

Una vez realizado esto podemos abrir la consola de metasploit usando:

msfconsole

Ya estando dentro de Metasploit vamos a seleccionar la ruta del auxiliar que vamos a utilizar
la ruta seria la siguiente:

use auxiliary/gather/search_email_collector/

Seguido del comando:

show options

para visualizar las opciones.


Configuramos el dominio a analizar utilizando:

set DOMAIN tuvictima.com

, en mi caso

 set DOMAIN grupobimbo.com

presionamos enter y finalizamos con

run

o en su defecto 

exploit

Para obtener un resultado como el siguiente:


Y ahi lo tienes... 

Metodo Dos

The Harvester

The harvester es una herramienta de codigo abierto
desarrollada en Python la cual tambien cumple
con el mismo objetivo que hoy perseguimos.

Esta herramienta la puedes descargar aqui: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Una ves descargada procedemos a ejecutarla, siguiendo su sintaxis la cuales bastante sencilla:

python theharvester.py -u urlvictima.com -l 300 -b all

Para entender un poco mas de esto les recuerdo que la bandera -u es utilizada para declarar la url victima,
la bandera: -l, nos ayuda a setear la cantidad de peticiones de busqueda que se van a realizar y por ultimo la bandera -b la usamos para declarar
el buscador o buscadores que vamos a utilizar, tales como LinkedIn, Google, Twitter, Bing, o todos..



Una vez que damos enter la herramienta comenzara a realizar la busqueda de emails
segun la configuracion solicitada , para llegar al mismo resultado exitoso de el metodo anterior.


Y asi de sencillo (Pero Funcional) es como podemos obtener un poco mas de informacion que ayude a nuestra investigacion o posibles ataques,
generalmente The Harvester suele ser mas generoso mostrandote informacion sobre algunos sub dominios ligados a la busqueda inicial, lo cual
te permite ampliar tu area de investigacion.



En fin, existen algunos metodos mas que cumplen con este objetivo sin embargo, ya las veremos en posteriores posts.
Hasta aqui lo dejamos por hoy,  Nos vemos en proximos post 


<Dhave Security/>  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta]www.dhavesecurity.com