Reading Time: 2 minutes
Mais de 19.000 modems ADSL Orange Livebox vazaram password WiFi.

Agentes de ameaça estão a explorar uma vulnerabilidade nos modems LiveBox ADSL da Orange. A palavra-passe WiFi do router poderia ser obtida pelos adversários através do envio de uma simples solicitação especialmente criada e enviada para os dispositivos. A palavra-passe era obtida em plain-text.

A falha identificada como CVE-2018-20377 é conhecida pelo menos desde 2012, quando Rick Murray a descreveu em num artigo no seu blog.

blogpost

 

Investigadores da Bad Packets observaram um varrimento tendo como target um honeypot. Uma investigação mais detalhada permitiu descobrir que os routers estavam a vazar a palavra-passe de acesso à rede local.

O co-fundador da Bad Packets, Troy Mursch, encontrou 19.490 sistemas LiveBox expostos na Internet ao utilizar o Shodan.
Estes dispositivos apresentam a sua palavra-passe em plain-text via uma solicitação GET para /get_getnetworkconf.cgi.

“On Friday, December 21, 2018, our honeypots observed an interesting scan consisting of a GET request for /get_getnetworkconf.cgi. Upon further investigation, we found this traffic was targeting Orange Livebox ADSL modems.” reads the analysis published by the experts.

“A flaw exists in these modems that allow remote unauthenticated users to obtain the device’s SSID and WiFi password.”

 

Os investigadores também descobriram que 2.018 não estavam vulneráveis à exploração e 8.391 não responderam ao exploit.
Orange-LiveBox-network_info-data-leak
Os investigadores notaram que muitos dos dispositivos que estavam a vazar a password Wi-Fi estavam a utilizar a mesma password para acesso ao painel de configuração e rede.
Mursch também indicou que muitos dispositivos expostos usam passwords padrão (por exemplo, admin / admin).
“This allows allow any remote user to easily access the device and maliciously modify the device settings or firmware. In addition, they can obtain the phone number tied to the modem and conduct other serious exploits detailed in this Github repository. ” continues the analysis.
A maioria dos dispositivos vulneráveis ​​estão localizados na rede de Orange em Espana (AS12479). A fonte do varrimento inicial era de 81.38.86.204, que é um endereço IP associado a um cliente da Telefonica Spain.
Os investigadores patilharam mais detalhes da investigação com a Orange Espana, Orange-CERT e CERT Spain.