Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

💡

Cómo lograr acceso de administrador a router NuCom NU-GRNV5

BocaDePez
BocaDePez
3

Tengo un router NuCom para el acceso WiMAX de la empresa Embou, un operador regional de Aragón propiedad del grupo MásMóvil. Aunque el acceso que me proporciona mi proveedor es WiMAX, el router en sí es un router genérico, con 4 tomas LAN RJ45, dos RJ12 para teléfonos y una toma WAN donde se conecta el RJ45 que viene del aparatito que a su vez se conecta a la antena WiMAX. Cuenta con el típico interfaz web Broadcom de administración. El modelo de router es NU-GRNV5. Por cierto, este router es una birria, si os da por usar bittorrent lo tendréis que reiniciar prácticamente cada día porque se os caerá la conexión a internet cada dos por tres.

Pues bien, he encontrado una falla de seguridad que permite entrar con el usuario capado que te facilita la compañía en la carta de bienvenida (en mi caso se llama user), y reestablecer la contraseña del usuario admin, para poder entrar con él y tener todos los privilegios y menús activados.

Procedimiento

Es tan sencillo como:

  1. Abrir un navegador y escribir en la barra de direcciones la dirección IP de tu router, que típicamente es 192.168.1.1.
  2. Identificarse con el usuario capado y contraseña que te proporciona tu compañía. En mi caso ese usuario es user.
  3. Una vez dentro, en la barra de direcciones del navegador escribir la dirección IP de tu router seguida de /ctadminpswd.cgi. En mi caso esa URL es así: http://192.168.1.1/ctadminpswd.cgi. La página a la que llegas te permite restablecer una contraseña de tu elección para el usuario admin.
  4. Sólo queda cerrar sesión y entrar a continuación con usuario admin y ser dueño y señor de tu router. FIN.

Un poco de detalle sobre cómo he encontrado la vulnerabilidad

Esta falla de seguridad la he descubierto sin más que cotillear en un fichero javascript enlazado a cada una de las páginas HTML del router llamado menuCT.js (accesible mediante la URL http://192.168.1.1/menuCT.js). Ahí se listan de manera muy clara todas las URLs correspondientes a todos los HTML que se cargan como frameset en la página principal. Básicamente la vulnerabilidad consiste en que cada una de esas páginas son accesibles por el usuario capado si conoce la URL. Además la acción que se puede realizar desde cada una de esas páginas no comprueba si el usuario tiene privilegios para realizarla, aparentemente usa la lógica de "si ha llegado aquí es que puede realizar la acción".

Quizá esta vulnerabilidad esté también presente en routers NuCom más modernos. Si tenéis uno, no dudéis en echar un vistazo al código de las páginas, que yo no soy ningún lumbrera juanker, soy un tío normal que sabe HTML y Javascript y lo he sacado.

mceds

Qué desgracia. Ahora que los usuarios de ese proveedor tienen acceso de administrador al router, lo podrán tirar abajo (el proveedor) y causarle infinito mal.

(Ironía. Buen trabajo)