Перейти к содержимому
Калькуляторы

В прошивке роутеров D-Link DIR-620 обнаружили опасные уязвимости

18 минут назад, getasbrb сказал:

С другой стороны, кто вам сказал, что он проверил?

А что авторизация может использоваться не для WEB, вам в голову не приходит? Вот поэтому и говорю про паранойю.

Вам уже длинк прямым тесктом сказал, да дырка есть. Какие вам ещё доказательства нужны.

 

Цитата

А то что cwmp сам по себе анальный зонд от провайдера, не смущает? 

 

Нет не смущает, ибо у нормальных людей оно само не стартует и в роже отключается, и 3им лицам туда доступа нет. 

 

 

Цитата

И заметьте, конечным пользователям про это ни слова не говорят, и даже опенсорсность тут не спасает - ну есть в openwrt cwmp, ну открыт, так всё равно провайдер через него что хочешь с твоим устройством сделает.

Проблема не в наличии, а в том, что доступно всем по сути. А не только провайдеру для якобы благих целей.

 

Цитата

А как тут диагноз не поставить? На основании чего сделан такой вывод?

 

Вывод чего? Диагноз тут скорее по вам плачет. На обиды пофиг, но т.к. я человек по натуре добрый и разумный, то давайте дадим им шанс исправиться и провести аудит своего творчества?

 

Цитата

Только при условии, что им можно воспользоваться для доступа к устройству. Во приду домой, проверю оба пароля.

Распаковал прошивку - нет там rompager, там только httpd. Зато в tr069 есть упоминания HTTP, похоже там своя реализация.

Аллилуя.

 

Более того, из tr069 доступны все параметры nvram включая рутовые пароли, ещё и на RW, т.е. используя tr069 получаем полный доступ уже потом штатными средствами.

 

Цитата

На здоровье, вот только просьба не делать ничем необоснованных выводов, а то получается какое-то изнасилование журналиста. Да и не пофиг вам на обиды длинка?

Выводы обоснованы от и до. И даже сам длинк вам об этом чётко сказал.

 

Цитирую:

Цитата

т.н. backdoor является одним из требований технического задания и представляет собой инженерный аккаунт для осуществления удаленной технической поддержки клиентов специалистами оператора.
 

 

И проблема даже не в самом наличии дырки для оператора. А именно в том, что пароли извлекаются эллементарно и лежат в софте открытым текстом. Более того, они НЕИЗМЕНЯЕМЫ. Пользователь о наличии дырки не извещён, крутилки в роже для её отключения нет. Благодаря всему этому возможна эксплуатация (и наверняка эксплуатируется) кулхацкерами средней руки. А т.к. статика то ещё и не сменить если вдруг скомпроментировали.

 

У нас, например тоже есть возможность использовать сервисный экаунт. Но во первых он не забит жёстко, во вторых выключен по дефолту, в третьих возможноть документирована, и включение опции логируется + пользователю доступна опция (даже если оператор включил) отключить оную.

 

Тоже самое касается CWMP. Который вообще суть отдельный контур управления, причём с теми же разрешениями что и рут доступ к роже.

 

Вот в этом разница между общедоступным бэкдором и сервисным входом, который в любом случае использовать настоятельно не рекомендуется, т.к. зона ответственности оператора не должна быть столь безграничной.

 

В общем разберитесь в вопросе. Потом приходите с/за диагнозами.

 

А то уже мне за логику обидно. Когда уже вендор сказал - ДА вот оно есть, имеется, один фиг продолжается какое-то отрицание.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 минуты назад, getasbrb сказал:

А это вопрос к вашему другу Sd :) "Так что точно бэкдор во всех клиентах."

Вы видимо не в курсе если CWMP стартует безусловно при загрузки ПО при этом в его WEB доступ с дефолтовым статиком забитым паролем снаружи (а внутри он нафиг никому не нужен) то это ничем не лучше чем скрытый экаунт для WEB. Так что он абсолютно прав. В клиенте TR-069 у длинк (кстати вы в курсе что 069 тут не при делах и это всего лишь номер набора рекомендаций и ныне оно давно не 069?) наблюдается зияющая дырень  - бэкдор. Больше вам ничего сказано не было. Будьте внимательнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 minutes ago, sfstudio said:

Вам уже длинк прямым тесктом сказал, да дырка есть. Какие вам ещё доказательства нужны.

ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя.

33 minutes ago, sfstudio said:

Вывод чего?

Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам?

26 minutes ago, sfstudio said:

Вы видимо не в курсе если CWMP стартует безусловно при загрузки ПО при этом в его WEB доступ с дефолтовым статиком забитым паролем снаружи (а внутри он нафиг никому не нужен) то это ничем не лучше чем скрытый экаунт для WEB. Так что он абсолютно прав. В клиенте TR-069 у длинк (кстати вы в курсе что 069 тут не при делах и это всего лишь номер набора рекомендаций и ныне оно давно не 069?) наблюдается зияющая дырень  - бэкдор. Больше вам ничего сказано не было. Будьте внимательнее.

Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу.

 

ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports

и смотрим дату последней версии (TR-069 Amendment 6, март 2018)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, getasbrb сказал:

ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя.

Вы не настоль значимая личность, что вы вас убеждать. Кастомы доступны в сети, ссылки выше. Кастомы работают на реальной сети крупнейшего оператора и т.д.

 

А вообще вы правы, те кто пользуется роутерами от Д-Линк - ССЗБ. Тут не поспоришь.

 

И именно благодаря вот таким раздолбаям-вредителям и сложилось мнение, аля роутер от оператора - спасибо не надо! И мы с трудом, работая в этой сфере, переламываем это мнение.

 

И вот этот аспект меня как раз касается больше всего. Что вы там у себя юзаете мне вообще перпендикулярно.

 

Цитата

Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам?

ОООООООО. У вас подгорело? Как же я мог придти к выводам, что имея доступ к CWMP или у Web через операторскую дырку я получу доступ по сути ко всему? Ну навреное я в курсе как работает CWMP к примеру, в т.ч. на примере D-Link ACS, у нас человек пилил с ними совместимость.

 

 

Цитата

Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу.

 

В конкретной версии ПО которую разбирал товарищ отключение из WEB, как я понял отсутствует и оно стартует сразу.

 

Какая разница какие цели? Вот вы сделали дырку в женский туалет что бы подсматривать за бабами. А добрый Вася нашёл дыру и дунул через неё зорина.

 

 

Цитата

 

ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports

и смотрим дату последней версии (TR-069 Amendment 6, март 2018)

Он и не потеряет, ибо прямое наследование. Но правильнее говорить о реализации CWMP протокола версии такой-то такой-то. Если ободрать CWMP до поддержки только 069 даже в D-link ACS половина работать перестанет.

 

Могу дать контакты человека который у нас занимается оным, сможете с ним делатльно обсудить, если интересно.

 

Ещё раз. Вас никто не в чём убеждать не собирается. Дырка есть как минимум в софте крупнейшего оператора, это признано Д-Линк (см их ответ). Т.е. уязвимых устройств десятки тысяч как минимум.

 

Всё остальное словоблудие.

 

Хотите что бы именно вашу версию ПО продиагностировали и предоставили методику взлома? Ну дык касса скажу где. Я по остаткам длинков у моих партнёров уже заказал. Дорого зараза нынче такая работа стоит. 

 

Никто не утверждал что дыра прям все 100500 ревизий и все версии ПО затрагивает.

 

Поэтому будь-те добры себе диагнозы ставить.

 

Но не удивлюсь если это окажется так. Даже не удивлюсь что дёргаемая из cwmp функция не добавляет доп экаунт который будет доступен в т.ч. при входе с телнета. Но это уже так, фантазии.

 

P.S. Даже ССЗБ не заслуживают подобного обращения. То что вам на них насрать, это ваше право. Факта это не отменяет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот кусок из data model d-link реализации cwmp:


                        <object name="User">
                                <object name="1"> <!-- user management -->
                                        <param name="Enable" get_func="cpe_get_const_string" set_func="cpe_set_null" args="1"/>
                                        <param name="Username" get_func="cpe_get_nvram_string" set_func="cpe_set_user_name" args="Login" reload_func="cpe_reload_user"/>
                                        <param name="Password" get_func="cpe_get_nvram_string" set_func="cpe_set_nvram_string" args="Password" reload_func="cpe_reload_user"/>
                                </object>
                                <object name="2"> <!-- operator managment -->
                                        <param name="Enable" get_func="cpe_get_user_mngmt_enable" set_func="cpe_set_user_mngmt_enable" reload_func="cpe_reload_user"/>
                                        <param name="Username" get_func="cpe_get_nvram_string" set_func="cpe_set_user_name" args="MngmtLogin" reload_func="cpe_reload_user"/>
                                        <param name="Password" get_func="cpe_get_nvram_string" set_func="cpe_set_nvram_string" args="MngmtPassword" reload_func="cpe_reload_user"/>
                                </object>
                        </object>

 

Первый объект это юзер полубесправный, второй это рут, реквизиты обоих доступны к смене по CWMP. Версия протокола 1.15. Так же оттуда доступно и обновление ПО и ещё куча фигни. А сформировать образ для завливки для RT305x вообще не проблема. И весь инструментарий доступен. Как и перепаковать модифицированную. При этом подсадив туда зловреда и оно даже после сброса в дефолт уже будет заражено.

 

Короче раздолье.

 

Вроде ни где не ошибся. CWMP не моя задача в контексте wive, так что поправят если что. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики.

 

Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость)

 

20 часов назад, sfstudio сказал:

Первый объект это юзер полубесправный, второй это рут, реквизиты обоих доступны к смене по CWMP. Версия протокола 1.15. Так же оттуда доступно и обновление ПО и ещё куча фигни. А сформировать образ для завливки для RT305x вообще не проблема. И весь инструментарий доступен. Как и перепаковать модифицированную. При этом подсадив туда зловреда и оно даже после сброса в дефолт уже будет заражено.

Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы". Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами!

Изменено пользователем getasbrb

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

44 минуты назад, getasbrb сказал:

Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики.

 

Да правда? =))) Ну дык радуйтесь. Версии для РТК о которых говорил кашперовски вы тоже проверили? Или то что у федерального оператора дыра это херня ибо вас лично не касается?

 

Ну или Д-Линк решил сам себя оболгать признав проблему. Прекрасно. =)

 

Опять таки никто не говорил что оно есть везде и доступно всегда. Но уже у самого зачесалось проверит. Иначе со стороны Д-линк полный тупизм признавать несуществующие проблемы. Но в это мне всё же вериться меньше всего.

 

Цитата

 

Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость)

 

Читайте внимательно.

 

Цитата

Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы".

Вот хрен угадали. У нас оператор сам конфигурит все параметры подключения CWMP к ACS включая пароли. Вот и всё. Ещё раз. Дыра не в том, что есть возможность управления. А в том что пары логин пароль вшиты жёстко.

 

Для managment юзера у нас так же по дефолту не задано ничего, т.е. если оператор не задал параметры, свои, придуманные, то managment юзера в системе нет вообще. Появляется он именно после того как будут заданы его реквизиты руками. И они остаются доступны для изменения или удаления.

 

Ну и кто вам грил что не штатная? Я вроде такого не грил. Я вам отвечал с чего я взял что имея доступ к CWMP смогу например реквизиты входы у УЙ поменять. Вот именно с того и смогу. =)

 

Это ровно всё к тому же примеру про дырку в туалете (оператор для себя что бы рулить девайсами) проковырял один во благо, а второй туда газку жахнул через неё. Вопрос исключительно как много было в том тулете баб. В случае с РТК боюсь немеряно.

 

Цитата

 

Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами!

 

И с SNR обломаешся, т.к. мы отказались даже рассматривать реализацю подобного причём с дефолтной активацией. Всё исключительно ручками, ибо нехер.

 

DHCP снупинг ныне умеют почти все L2 и L3 свитчи. На доступе мало у кого остались мыльницы, слава богу. Это не отменяет архитектурного уродства CWMP впринципе. Оттуда  и наш отказ от активации по наличию опции в ответах DHCP.

 

Более того, не зная реквизитов ну развернёте вы DHCP, ну подсуните адрес ACS. А дальше?

 

Тут вся соль, что если оператор передал опцию (ну например если активация по ней) запустился cwmp - стал доступен из мира его web. Зная реквизиты можем творить с девайсом что угодно.

 

P.S. Какое железо у этого REV_G в который вы лили? Мне аж самому интересно посмотреть, может найду такую.

 

Так. G это броадком, тут без шансов. Нет и не предвидиться. Щас возьмём F1 для РТК фирмварь и посмотрим. Судя по всему версии под РТК шли только под RT3x5x/MT7620 вот их и стоит колупнуть. BCM видимо досталось меньше, возможно потому что РТК не запрашивал. Так что всё сходиться.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эх млять. Запорол девайс. Эти нелюди бут заразы обновляют при первом старте. Как-то я не подумал что такие психопаты ещё остались. Ну щас некогда доставать программатор, другой работы полно:


3: System Boot system code via Flash.
## Checking image at bc050000 ...
   Image Name:   DIR_620DF1A
   Image Type:   MIPS Linux Kernel Image (lzma compressed)
   Data Size:    1216393 Bytes =  1.2 MB
   Load Address: 80000000
   Entry Point:  8000c2f0
   Verifying Checksum ... OK
   Uncompressing Kernel Image ... OK
No initrd
## Transferring control to Linux (at address 8000c2f0) ...
## Giving linux memsize in MB, 128

Starting kernel ...


LINUX started...

 THIS IS ASIC
Linux version 2.6.36+ (builder@rd) (gcc version 4.1.2) #1 Thu Apr 23 13:00:46 MSK 2015

 The CPU feqenuce set to 580 MHz

 MIPS CPU sleep mode enabled.
 PCIE: bypass PCIe DLL.
 PCIE: Elastic buffer control: Addr:0x68 -> 0xB4
 disable all power about PCIe
CPU revision is: 00019650 (MIPS 24Kc)
Software DMA cache coherency
Determined physical RAM map:
 memory: 02000000 @ 00000000 (usable)
Zone PFN ranges:
  Normal   0x00000000 -> 0x00002000
Movable zone start PFN for each node
early_node_map[1] active PFN ranges
    0: 0x00000000 -> 0x00002000
Built 1 zonelists in Zone order, mobility grouping on.  Total pages: 8128
Kernel command line: console=ttyS1,57600n8 root=/dev/mtdblock5 console=ttyS0
HZ = 100
PID hash table entries: 128 (order: -3, 512 bytes)
Dentry cache hash table entries: 4096 (order: 2, 16384 bytes)
Inode-cache hash table entries: 2048 (order: 1, 8192 bytes)
Primary instruction cache 64kB, VIPT, , 4-waylinesize 32 bytes.
Primary data cache 32kB, 4-way, PIPT, no aliases, linesize 32 bytes
Writing ErrCtl register=00045400
Readback ErrCtl register=00045400
Memory: 28524k/32768k available (3057k kernel code, 4244k reserved, 501k data, 172k init, 0k highmem)
NR_IRQS:128
console [ttyS1] enabled
Calibrating delay loop... 385.84 BogoMIPS (lpj=1929216)
pid_max: default: 32768 minimum: 301
Mount-cache hash table entries: 512
NET: Registered protocol family 16
bio: create slab <bio-0> at 0
SCSI subsystem initialized
usbcore: registered new interface driver usbfs
usbcore: registered new interface driver hub
usbcore: registered new device driver usb
Switching to clocksource Ralink Systick timer
dru filter: 0% -> 0x00000000 avenrun
dru filter: 80% -> 0x00000666 avenrun
dru filter: 120% -> 0x00000999 avenrun
Registered /proc/sys/dru
NET: Registered protocol family 2
IP route cache hash table entries: 1024 (order: 0, 4096 bytes)
TCP established hash table entries: 1024 (order: 1, 8192 bytes)
TCP bind hash table entries: 1024 (order: 0, 4096 bytes)
TCP: Hash tables configured (established 1024 bind 1024)
TCP reno registered
UDP hash table entries: 256 (order: 0, 4096 bytes)
UDP-Lite hash table entries: 256 (order: 0, 4096 bytes)
multicast routing: unresolved cache size is 200, expires at 1.0 sec (HZ = 100)
NET: Registered protocol family 1
RT3xxx EHCI/OHCI init.
squashfs: version 4.0 (2009/01/31) Phillip Lougher
fuse init (API version 7.15)
msgmni has been set to 55
Block layer SCSI generic (bsg) driver version 0.4 loaded (major 254)
io scheduler noop registered (default)
Ralink gpio driver initialized
Serial: 8250/16550 driver, 2 ports, IRQ sharing disabled
serial8250: ttyS0 at MMIO 0x10000500 (irq = 37) is a 16550A
serial8250: ttyS1 at MMIO 0x10000c00 (irq = 12) is a 16550A
deice id : c2 20 18 c2 20 (2018c220)
MX25L12805D(c2 2018c220) (16384 Kbytes)
mtd .name = raspi, .size = 0x01000000 (0M) .erasesize = 0x00000010 (0K) .numeraseregions = 65536
off at block 0x120000
squashfsb.s_magic 0x29ceea5e
off at block 0x130000
squashfsb.s_magic 0xb7554a13
off at block 0x140000
squashfsb.s_magic 0xed3c6f96
off at block 0x150000
squashfsb.s_magic 0x8a3f5daa
off at block 0x160000
squashfsb.s_magic 0xc815caab
off at block 0x170000
squashfsb.s_magic 0x8470241b
off at block 0x180000
squashfsb.s_magic 0x73717368
squashfs filesystem found at block 0x180000
Creating 7 MTD partitions on "raspi":
0x000000000000-0x000001000000 : "ALL"
0x000000000000-0x000000030000 : "Bootloader"
0x000000030000-0x000000040000 : "Config"
0x000000040000-0x000000050000 : "Factory"
0x000000050000-0x000000180000 : "Kernel"
0x000000180000-0x000000800000 : "RootFS"
0x000000050000-0x000000800000 : "Linux"
SMACCR1 -- : 0x0000f8f0
SMACCR0 -- : 0x829c08bf
Ralink APSoC Ethernet Driver Initilization. v3.1  512 rx/tx descriptors allocated, mtu = 1500!
NAPI enable, Tx Ring = 512, Rx Ring = 512
SMACCR1 -- : 0x0000f8f0
SMACCR0 -- : 0x829c08bf
PROC INIT OK!
PPP generic driver version 2.4.2
PPP Deflate Compression module registered
PPP BSD Compression module registered
PPP MPPE Compression module registered
NET: Registered protocol family 24
PPTP driver version 0.8.5
ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver
rt3xxx-ehci rt3xxx-ehci: Ralink EHCI Host Controller
rt3xxx-ehci rt3xxx-ehci: new USB bus registered, assigned bus number 1
rt3xxx-ehci rt3xxx-ehci: irq 18, io mem 0x101c0000
rt3xxx-ehci rt3xxx-ehci: USB 0.0 started, EHCI 1.00
usb usb1: New USB device found, idVendor=1d6b, idProduct=0002
usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1
usb usb1: Product: Ralink EHCI Host Controller
usb usb1: Manufacturer: Linux 2.6.36+ ehci_hcd
usb usb1: SerialNumber: rt3xxx
hub 1-0:1.0: USB hub found
hub 1-0:1.0: 1 port detected
ohci_hcd: USB 1.1 'Open' Host Controller (OHCI) Driver
rt3xxx-ohci rt3xxx-ohci: RT3xxx OHCI Controller
rt3xxx-ohci rt3xxx-ohci: new USB bus registered, assigned bus number 2
rt3xxx-ohci rt3xxx-ohci: irq 18, io mem 0x101c1000
usb usb2: New USB device found, idVendor=1d6b, idProduct=0001
usb usb2: New USB device strings: Mfr=3, Product=2, SerialNumber=1
usb usb2: Product: RT3xxx OHCI Controller
usb usb2: Manufacturer: Linux 2.6.36+ ohci_hcd
usb usb2: SerialNumber: rt3xxx-ohci
hub 2-0:1.0: USB hub found
hub 2-0:1.0: 1 port detected
usbcore: registered new interface driver usblp
Initializing USB Mass Storage driver...
usbcore: registered new interface driver usb-storage
USB Mass Storage support registered.
Ralink APSoC Hardware Watchdog Timer
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (445 buckets, 1780 max)
ctnetlink v0.93: registering with nfnetlink.
matchsize=264
IPVS: Registered protocols ()
IPVS: Connection hash table configured (size=4096, memory=32Kbytes)
IPVS: ipvs loaded.
GRE over IPv4 demultiplexor driver
gre: can't add protocol
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Linux
arp_tables: (C) 2002 David S. Miller
TCP cubic registered
NET: Registered protocol family 10
lo: Disabled Privacy Extensions
ip6_tables: (C) 2000-2006 Netfilter Core Team
IPv6 over IPv4 tunneling driver
sit0: Disabled Privacy Extensions
NET: Registered protocol family 17
Bridge firewalling registered
Ebtables v2.0 registered
L2TP core driver, V2.0
PPPoL2TP kernel driver, V2.0
802.1Q VLAN Support v1.8 Ben Greear <greearb@candelatech.com>
All bugs added by David S. Miller <davem@redhat.com>
nlmon: nlmon_init entry
VFS: Mounted root (squashfs filesystem) readonly on device 31:5.
Freeing unused kernel memory: 172k freed
D-link init started
Jan  1 00:00:02 init[1]: Kernel threads-max value (445) is too small. Set it to 512.
updateboot :: checking bootloader...
updateboot :: not equal at addr: 0x00000010, val: 0x82 0x77
updateboot :: updating bootloader...
About to erase /dev/mtd1...
mtd_info.erasesize = 65536
Jan  1 00:00:01 libshared[1]: dms_mtd_flash_buffer: start... mtd: /dev/mtd1
Jan  1 00:00:02 mtd_flash[1]: return 0
updateboot :: verifying bootloader...
upStopped WatchDog Timer.
datebRestarting system.

 

Попрошу товарища расковырять и опубликовать найденное. Кто-нить проверит. Откровенно не времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, getasbrb сказал:

Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами!

 

А разве проверки (по сертификату, скажем), того, что ACS-кой представляется, в маршрутизаторе не предусмотрено? Вот прямо так, не глядя, верим любому конфигу, что применить просят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

d-link acs в ранних версиях вообще не умела ни https нифига (клиент соответственно тоже). Как в последних ХЗ. Надо колелгу пинать. У нас поддерживаются оба варианта. В зависимости от конфигурации. Но опять же там есть нюансы.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, sfstudio сказал:

Дыра не в том, что есть возможность управления. А в том что пары логин пароль вшиты жёстко.

Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте.

 

6 минут назад, Sergey Gilfanov сказал:

А разве проверки (по сертификату, скажем), того, что ACS-кой представляется, в маршрутизаторе не предусмотрено? Вот прямо так, не глядя, верим любому конфигу, что применить просят?

По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, getasbrb сказал:

Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте.

Ещё раз, вы проверили доступ к CWMP с этой парой? Не у УЮ? А касперский да, говорит о дыре в другом месте. Не мешайте мух с котлетами. Так же уверены что при передачи в dhcp опции оно не полезет до ACS с теми самыми реквизитами не смотря на пустые поля в роже?

 

Ну и надеюсь после заливки сброс сделали. Дабы дефолты увидеть? Запущен или нет cwmp надеюсь в процессах глянули? Ну так на всякий.

 

13 минут назад, getasbrb сказал:

По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда.

И увы не только на клиентской части. Потому и бяда. Собсно почему я и сопротивлялся довольно долго вообще до начальной реализации. И разночтений в зависимости от вендора ACS просто как грязи.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашёл древний 7620 с SDR и тормозным флешем. Залил не забыв затереть nvram:


Ralink UBoot Version: 4.1.1.0
--------------------------------------------
ASIC 7620_MP (Port5<->None)
DRAM component: 256 Mbits DDR, width 16
DRAM bus: 16 bit
Total memory: 32 MBytes
Flash component: SPI Flash
Date:Mar 13 2013  Time:12:31:31
============================================
icache: sets:512, ways:4, linesz:32 ,total:65536
dcache: sets:256, ways:4, linesz:32 ,total:32768

 ##### The CPU freq = 580 MHZ ####
 estimate memory size =32 Mbytes
raspi_read: from:40028 len:6


Please choose the operation:
   1: Load system code to SDRAM via TFTP.
   2: Load system code then write to Flash via TFTP.
   3: Boot system code via Flash (default).
   4: Entr boot command line interface.
   7: Load Boot Loader code then write to Flash via Serial.
   9: Load Boot Loader code then write to Flash via TFTP.
 0
   
3: System Boot system code via Flash.
## Booting image at bc050000 ...
raspi_read: from:50000 len:40
   Image Name:   DIR_620DF1A
   Image Type:   MIPS Linux Kernel Image (lzma compressed)
   Data Size:    1216393 Bytes =  1.2 MB
   Load Address: 80000000
   Entry Point:  8000c2f0
raspi_read: from:50040 len:128f89
   Verifying Checksum ... OK
   Uncompressing Kernel Image ... OK
No initrd
## Transferring control to Linux (at address 8000c2f0) ...
## Giving linux memsize in MB, 32

Starting kernel ...


LINUX started...

 THIS IS ASIC
Linux version 2.6.36+ (builder@rd) (gcc version 4.1.2) #1 Thu Apr 23 13:00:46 MSK 2015

 The CPU feqenuce set to 580 MHz

 MIPS CPU sleep mode enabled.
 PCIE: bypass PCIe DLL.
 PCIE: Elastic buffer control: Addr:0x68 -> 0xB4
 disable all power about PCIe
 PCIE: PLL power down for MT7620N
CPU revision is: 00019650 (MIPS 24Kc)
Software DMA cache coherency
Determined physical RAM map:
 memory: 02000000 @ 00000000 (usable)
Zone PFN ranges:
  Normal   0x00000000 -> 0x00002000
Movable zone start PFN for each node
early_node_map[1] active PFN ranges
    0: 0x00000000 -> 0x00002000
Built 1 zonelists in Zone order, mobility grouping on.  Total pages: 8128
Kernel command line: console=ttyS1,57600n8 root=/dev/mtdblock5 console=ttyS0
HZ = 100
PID hash table entries: 128 (order: -3, 512 bytes)
Dentry cache hash table entries: 4096 (order: 2, 16384 bytes)
Inode-cache hash table entries: 2048 (order: 1, 8192 bytes)
Primary instruction cache 64kB, VIPT, , 4-waylinesize 32 bytes.
Primary data cache 32kB, 4-way, PIPT, no aliases, linesize 32 bytes
Writing ErrCtl register=0006f080
Readback ErrCtl register=0006f080
Memory: 28524k/32768k available (3057k kernel code, 4244k reserved, 501k data, 172k init, 0k highmem)
NR_IRQS:128
console [ttyS1] enabled
Calibrating delay loop... 385.84 BogoMIPS (lpj=1929216)
pid_max: default: 32768 minimum: 301
Mount-cache hash table entries: 512
NET: Registered protocol family 16
bio: create slab <bio-0> at 0
SCSI subsystem initialized
usbcore: registered new interface driver usbfs
usbcore: registered new interface driver hub
usbcore: registered new device driver usb
Switching to clocksource Ralink Systick timer
dru filter: 0% -> 0x00000000 avenrun
dru filter: 80% -> 0x00000666 avenrun
dru filter: 120% -> 0x00000999 avenrun
Registered /proc/sys/dru
NET: Registered protocol family 2
IP route cache hash table entries: 1024 (order: 0, 4096 bytes)
TCP established hash table entries: 1024 (order: 1, 8192 bytes)
TCP bind hash table entries: 1024 (order: 0, 4096 bytes)
TCP: Hash tables configured (established 1024 bind 1024)
TCP reno registered
UDP hash table entries: 256 (order: 0, 4096 bytes)
UDP-Lite hash table entries: 256 (order: 0, 4096 bytes)
multicast routing: unresolved cache size is 200, expires at 1.0 sec (HZ = 100)
NET: Registered protocol family 1
RT3xxx EHCI/OHCI init.
squashfs: version 4.0 (2009/01/31) Phillip Lougher
fuse init (API version 7.15)
msgmni has been set to 55
Block layer SCSI generic (bsg) driver version 0.4 loaded (major 254)
io scheduler noop registered (default)
Ralink gpio driver initialized
Serial: 8250/16550 driver, 2 ports, IRQ sharing disabled
serial8250: ttyS0 at MMIO 0x10000500 (irq = 37) is a 16550A
serial8250: ttyS1 at MMIO 0x10000c00 (irq = 12) is a 16550A
deice id : ef 40 17 0 0 (40170000)
W25Q64BV(ef 40170000) (8192 Kbytes)
mtd .name = raspi, .size = 0x00800000 (0M) .erasesize = 0x00000008 (0K) .numeraseregions = 65536
off at block 0x120000
squashfsb.s_magic 0x29ceea5e
off at block 0x130000
squashfsb.s_magic 0xb7554a13
off at block 0x140000
squashfsb.s_magic 0xed3c6f96
off at block 0x150000
squashfsb.s_magic 0x8a3f5daa
off at block 0x160000
squashfsb.s_magic 0xc815caab
off at block 0x170000
squashfsb.s_magic 0x8470241b
off at block 0x180000
squashfsb.s_magic 0x73717368
squashfs filesystem found at block 0x180000
Creating 7 MTD partitions on "raspi":
0x000000000000-0x000000800000 : "ALL"
0x000000000000-0x000000030000 : "Bootloader"
0x000000030000-0x000000040000 : "Config"
0x000000040000-0x000000050000 : "Factory"
0x000000050000-0x000000180000 : "Kernel"
0x000000180000-0x000000800000 : "RootFS"
0x000000050000-0x000000800000 : "Linux"
SMACCR1 -- : 0x0000f8f0
SMACCR0 -- : 0x82da47d2
Ralink APSoC Ethernet Driver Initilization. v3.1  512 rx/tx descriptors allocated, mtu = 1500!
NAPI enable, Tx Ring = 512, Rx Ring = 512
SMACCR1 -- : 0x0000f8f0
SMACCR0 -- : 0x82da47d2
PROC INIT OK!
PPP generic driver version 2.4.2
PPP Deflate Compression module registered
PPP BSD Compression module registered
PPP MPPE Compression module registered
NET: Registered protocol family 24
PPTP driver version 0.8.5
ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver
rt3xxx-ehci rt3xxx-ehci: Ralink EHCI Host Controller
rt3xxx-ehci rt3xxx-ehci: new USB bus registered, assigned bus number 1
rt3xxx-ehci rt3xxx-ehci: irq 18, io mem 0x101c0000
rt3xxx-ehci rt3xxx-ehci: USB 0.0 started, EHCI 1.00
usb usb1: New USB device found, idVendor=1d6b, idProduct=0002
usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1
usb usb1: Product: Ralink EHCI Host Controller
usb usb1: Manufacturer: Linux 2.6.36+ ehci_hcd
usb usb1: SerialNumber: rt3xxx
hub 1-0:1.0: USB hub found
hub 1-0:1.0: 1 port detected
ohci_hcd: USB 1.1 'Open' Host Controller (OHCI) Driver
rt3xxx-ohci rt3xxx-ohci: RT3xxx OHCI Controller
rt3xxx-ohci rt3xxx-ohci: new USB bus registered, assigned bus number 2
rt3xxx-ohci rt3xxx-ohci: irq 18, io mem 0x101c1000
usb usb2: New USB device found, idVendor=1d6b, idProduct=0001
usb usb2: New USB device strings: Mfr=3, Product=2, SerialNumber=1
usb usb2: Product: RT3xxx OHCI Controller
usb usb2: Manufacturer: Linux 2.6.36+ ohci_hcd
usb usb2: SerialNumber: rt3xxx-ohci
hub 2-0:1.0: USB hub found
hub 2-0:1.0: 1 port detected
usbcore: registered new interface driver usblp
Initializing USB Mass Storage driver...
usbcore: registered new interface driver usb-storage
USB Mass Storage support registered.
Ralink APSoC Hardware Watchdog Timer
Netfilter messages via NETLINK v0.30.
nf_conntrack version 0.5.0 (445 buckets, 1780 max)
ctnetlink v0.93: registering with nfnetlink.
matchsize=264
IPVS: Registered protocols ()
IPVS: Connection hash table configured (size=4096, memory=32Kbytes)
IPVS: ipvs loaded.
GRE over IPv4 demultiplexor driver
gre: can't add protocol
ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Linux
arp_tables: (C) 2002 David S. Miller
TCP cubic registered
NET: Registered protocol family 10
lo: Disabled Privacy Extensions
ip6_tables: (C) 2000-2006 Netfilter Core Team
IPv6 over IPv4 tunneling driver
sit0: Disabled Privacy Extensions
NET: Registered protocol family 17
Bridge firewalling registered
Ebtables v2.0 registered
L2TP core driver, V2.0
PPPoL2TP kernel driver, V2.0
802.1Q VLAN Support v1.8 Ben Greear <greearb@candelatech.com>
All bugs added by David S. Miller <davem@redhat.com>
nlmon: nlmon_init entry
VFS: Mounted root (squashfs filesystem) readonly on device 31:5.
Freeing unused kernel memory: 172k freed
D-link init started
Jan  1 00:00:02 init[1]: Kernel threads-max value (445) is too small. Set it to 512.
updateboot :: checking bootloader...
updateboot :: bootloader not need to update
Readind config from flash...
load section
Jan  1 00:00:00 read config[1]: tar error

result read config from flash is 1
Use /etc/config.default
gpiom: module license 'Proprietary' taints kernel.
Disabling lock debugging due to kernel taint
gpiom: module starting ...
gpiom: using profile DIR_620DF1A_MT7620N_ALLWINS.
gpiom: button support enabled.
gpiom: led support enabled.
usbcore: registered new interface driver cdc_acm
cdc_acm: v0.26:USB Abstract Control Model driver for USB modems and ISDN adapters
NTFS driver 2.1.29 [Flags: R/W MODULE].
Lenght of avalible memory for title 142 bytes
resident starting...
opening lib3g...
hlib3g = 458218
Event pipe size is 4096 bytes
Jan  1 00:00:03 DEBUG[732]: Converting hash: 10f2de994b11af9b5955387a71126333
Jan  1 00:00:03 DEBUG[732]: Converting hash: 1d76a7236d1e515adf4491cbef08c470
Initializing device...
Jan  1 00:00:03 autoupdate[733]: Config reset

Init netfilter
nf_conntrack_rtsp v0.6.21 loading
nf_nat_rtsp v0.6.21 loading
res = 1
Config is good
Check SSID
Jan  1 00:00:03 dms_check_config_by_default[733]: this config is default
Do preinit ifaces
SeRaeth v3.1 (t NAPI
ma,SkbRecyclec )
f8:f0:82:9
phy_tx_ring = 0x01622000, tx_ring = 0xa1622000
e:53:d
phy_rx_ring0 = 0x01624000, rx_ring0 = 0xa1624000
e on ifacSMACCR1 -- : 0x0000f8f0
e SMACCR0 -- : 0x829e53de
etESW: Link Status Changed - Port2 Link UP
message received before monitor task is initialized kerSysSendtoNlMonTask
ESW: Link Status Changed - Port0 Link UP
message received before monitor task is initialized kerSysSendtoNlMonTask
h2CDMA_CSG_CFG = 81000000
 -GDMA1_FWD_CFG = 20710000
 OK
---libshared | write_config_file: begin
start generate config
config 02
BssidNum=1
WirelessMode=9
Channel=auto
---libshared | write_config_file: end
rmmod: can't unload 'hw_nat': unknown symbol in module, or unknown parameter
Jan  1 00:00:07 libshared:stop_wifi[733]: begin

killall: rt2860apd: no process killed
br0: No such device
killall: wscd: no process killed
Interface doesn't accept private ioctl...
set (8BE2): Network is down
deleting ifaces...
deleting iface sit0
Error ioctl
REG_ESW_WT_MAC_ATC is 0x7ff0002
set_group_vlan: start
set_group_vlan: group #0
set_group_vlan: group dest lan
brname: br0; iface_list: ra0 eth2.1
iface: ra0
=====================================================
Channel 1 : Dirty = 180, ApCnt=3, Busy Time = 8660, Skip Channel = FALSE
Channel 2 : Dirty = 230, ApCnt=0, Busy Time = 732, Skip Channel = FALSE
Channel 3 : Dirty = 280, ApCnt=0, Busy Time = 144, Skip Channel = FALSE
Channel 4 : Dirty = 310, ApCnt=0, Busy Time = 70, Skip Channel = FALSE
Channel 5 : Dirty = 340, ApCnt=2, Busy Time = 4055, Skip Channel = FALSE
Channel 6 : Dirty = 320, ApCnt=0, Busy Time = 2733, Skip Channel = FALSE
Channel 7 : Dirty = 290, ApCnt=1, Busy Time = 6181, Skip Channel = FALSE
Channel 8 : Dirty = 250, ApCnt=0, Busy Time = 379, Skip Channel = FALSE
Channel 9 : Dirty = 180, ApCnt=0, Busy Time = 1904, Skip Channel = FALSE
Channel 10 : Dirty = 150, ApCnt=1, Busy Time = 3573, Skip Channel = FALSE
Channel 11 : Dirty = 100, ApCnt=0, Busy Time = 206, Skip Channel = FALSE
Channel 12 : Dirty = 70, ApCnt=0, Busy Time = 527, Skip Channel = FALSE
Channel 13 : Dirty = 20, ApCnt=0, Busy Time = 309, Skip Channel = FALSE
=====================================================
d-link final_channel = 13+9
=====================================================
0x1300 = 00064380
device ra0 entered promiscuous mode
ifacdevice eth2.1 entered promiscuous mode
e:device eth2 entered promiscuous mode
 eth2.br0: port 2(eth2.1) entering learning state
br0: port 2(eth2.1) entering learning state

br0: port 1(ra0) entering learning state
br0: port 1(ra0) entering learning state
set_group_vlan: group #1
set_group_vlan: group dest wan
Jan  1 00:00:18 if_rename[733]: Setting : Interface `eth2.2' renamed to `wan1'.

enum_acl_netdev: got 2 ifaces (1 LAN, 1 WAN)
enum_acl_netdev: need 3 patterns instead of 6
set_group_vlan: group #Disable IGMP Dropping
0
Jan  1 00:00:18 libshared:start_wifi[733]: end

NO USED
NO USED
link watcher started
Jan  1 00:00:18 link_watcher_start[733]: started with line state -1
Do monitor task is initialized pid= 773
clear ifaces
set mac f8:f0:82:9e:53:de on br0
set mac f8:f0:82:9e:53:dd on wan1
Jan  1 00:00:18 try_get_uuid[733]: Unable to open uuid.conf
Jan  1 00:00:18 init_lan[733]: start
Jan  1 00:00:18 init_lan[733]: no grouping style
Jan  1 00:00:18 init_lan[733]: iface br0
init_lan: iface = br0
init ipfilter
init vserver
init macfilter
start urlfilter
init wans
Intialize wan.....
Set mac f8:f0:82:9e:53:dd on iface wan1 - OK
Set mtu 1500 on iface wan1 - OK
start_ip: static ipv4
enum_acl_netdev: got 2 ifaces (1 LAN, 1 WAN)
enum_acl_netdev: need 4 patterns instead of 6
Plugin /usr/lib/pppd/rp-pppoe.so loaded.
killall: pppoe-relay: no process killed
iptables: Bad rule (does a matching rule exist in that chain?).
iptables: Bad rule (does a matching rule exist in that chain?).
start services
start_telnet...
start_printserver...
init_sysusers...
Loading config file /tmp/http_srv_redirect.conf
Loading config file /tmp/yasslews.conf
yasslEWS web server v. 1.0 started on port(s) 81 with web root [/webs/www]
yasslEWS web server v. 1.0 started on port(s) 80 with web root [/webs/www]
killall: minidlnad: no process killed
start tr069...
iptables: Bad rule (does a matching rule exist in that chain?).
iptables: No chain/target/match by that name.
Out init_device
init_device: exited, status=0
Done.
Welcome to
     _______          ___     __  ____   _  _   ___
    |  ___  \        |   |   |__||    \ | || | /  /
    | |   | ||  ___  |   |__  __ |     \| || |/  /
    | |___| || |___| |      ||  || |\     ||     \
    |_______/        |______||__||_| \____||_|\___\

                     = Building Networks for People =

D-link init done
br0: port 2(eth2.1) entering forwarding state
br0: port 1(ra0) entering forwarding state

 

 

Как видим start tr069... При этом никакие доп опции у меня не передаются. Т.е. как минимум в софте для РТК cwmp стартует сразу без вопросов.

 

Дефолт с которым лезет по pppoe на старте:


                "wan1_2": {
                    "enable": true,
                    "type": "ppp",
                    "servicename": "",
                    "username": "rtk",
                    "password": "rtk",
                    "mtu": 1492,
                    "iface": "ppp0",
                    "l2_iface": "wan1",
                    "nat": true,
                    "firewall": true,
                    "igmp": false,
                    "keep_alive": {
                        "interval": 30,
                        "fails": 3
                    },
                    "gwif": true,
                    "contype": "pppoe",
                    "is_wan": true,
                    "level": 3,
                    "name": "PPPOE",
                    "auto": false,
                    "encrypt": "0",
                    "auth": "0",
                    "ppp_ip_ext": false,
                    "extra_options": "",
                    "static_ip": "",
                    "ppp_debug": false,
                    "pppoe_pass_through": false,
                    "rip": false,
                    "unit": 0
                }
            }

 

 

Дефолты по радио в части шифрования:


        "mbssid": [
            {
                "SSID": "",
                "AuthMode": "WPA2PSK",
                "EncrypType": "AES",
                "DefaultKeyID": "1",
                "Key1Type": "1",
                "Key1Str": "",
                "Key2Type": "1",
                "Key2Str": "",
                "Key3Type": "1",
                "Key3Str": "",
                "Key4Type": "1",
                "Key4Str": "",
                "WPAPSK": "76543210",
                "NoForwarding": "0",
                "NoForwardingBTNBSSID": "0",
                "IEEE8021X": "0",
                "TxRate": "0",
                "PreAuth": "0",
                "WmmCapable": true,
                "AccessPolicy": "0",
                "AccessControlList": []
            }

 

 

Дефолты настройки CWMP:


    "tr069": {
        "debug_mode": "3",
        "enable": true,
        "start_port": "9000",
        "end_port": "9999",
        "authenticate": "0",
        "getrpcmethodsenable": "0",
        "file_trans": [],
        "schedule_inform_time": "0",
        "max_envs": "",
        "managementserver": {
            "periodicinformenable": "1",
            "periodicinforminterval": "43200",
            "url": "http://acssrv.domolink.ru/",
            "username": "Guest",
            "password": "Guest",
            "connectionrequesturl": "http://192.168.0.1:8999/",
            "connectionrequestusername": "Guest",
            "connectionrequestpassword": "Guest",
            "periodicinformtime": "0",
            "managementdevice": []
        },
        "diagnostic": {
            "minimumresponsetime": "0",
            "datablocksize": "0",
            "pingresult": "",
            "pingip": "",
            "averageresponsetime": "",
            "timeout": "0",
            "numberofrepetitions": "0",
            "successcount": "0",
            "maximumresponsetime": "0",
            "dscp": "0",
            "failurecount": "0",
            "interface": ""
        },
        "misc": {
            "schedulecmdkey": "",
            "previousurl": "",
            "rebootcmdkey": ""
        },
        "DeviceInfo": {
            "ProvisioningCode": "RTCM.MRFC"
        },
        "notify": []
    },
    "autoupdate": {
        "enable": false,
        "server": "fwupdate.dlink.ru",
        "check_updates": false
    },
    "lang": "rus"
}


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как видим. ТР069 включен, активен, настроен на работу вообще без аутентификации, запускается безусловно и сразу, пароли лежат открытым тексом прям в файлике с дефолтами. Прошивка находиться в свободном доступе на 4pda. Как понимаю предустанавливалась с завода. Заказы там далеко не по одной штуке.

 

На 9999м порту вполне себе слушает cwmp в сторону LAN. В сторону WAN правила, как я вижу создаются динамически. Будет время разверну PPPOE с реквизитами выше, но уверен он туда смотрит.

 

Т.к. на WAN висит заглушка с адресом 1.0.0.1 и туда всё подропано. Т.е. смотрит всяко в pppoe. Но надо бы проверить.

 

Челу отписался, вернусь домой проверим.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, sfstudio сказал:

Ещё раз, вы проверили доступ к CWMP с этой парой? Не у УЮ? А касперский да, говорит о дыре в другом месте. Не мешайте мух с котлетами. Так же уверены что при передачи в dhcp опции оно не полезет до ACS с теми самыми реквизитами не смотря на пустые поля в роже?

 

Ну и надеюсь после заливки сброс сделали. Дабы дефолты увидеть? Запущен или нет cwmp надеюсь в процессах глянули? Ну так на всякий.

При чем тут касперский? Это вы утверждаете, что есть бэкдор в cwmp. Ок, проверю и его, надо порыться по сусекам, вроде оставался старый образ докера с OpenACS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Утверждаю во первых не я. Я скорее выражаю уверенность и солидарность с товарищем. =))) Мне скорее больше выявленное кашперовским интересно.

 

Ну вот проверьте. У меня нет под рукой развёрнутой ACS. Потому как я вот смотрю версию F1 под РТК и вижу там праздник с CWMP, без аутентификации без нифига и стартующее без всяких опций (ну нет у РТК DHCP).

 

Т.е. как минимум в РТК софте безобразие с CWMP имеет место быть.

 

Хоть бы фаером по диапазону прикрыли бы чтоль.... Ну раз уж всё равно дефолты перепаханы.

 

В passwd:


# cat pass*
support:$1$dVjuYO/T$4S1AkYQZ6YrjAVVdnmcdu0:0:0:root:/:/bin/sh
nobody:x:99:99:nobody:/:/bin/false
ftp:x:500:500:ftp:/mnt:/bin/false

 

Как бы вход для типа поддержки точно есть, не понятно откуда генериться.  И ессно отсюда вторую часть не выколупать.

 

Грепаем и видим:


"login": "admin",
 "pass_cr": "10f2de994b11af9b5955387a71126333"
 "login": "support",
 "pass_cr": "1d76a7236d1e515adf4491cbef08c470"

 

Молодцы, постарались, ну хоть так. Хотя можно попытаться и восстановить пароли.

 

Грубо говоря вторая учётка действительно есть и активна по дефолу. Благо пароли в прошивке к ней не открытым текстом.

 

В F1 явный косяк только с CWMP. Более ранние смотреть не на чем.

 

Что как бы не отменяет сказанного кашперовским. Вопрос только в каких версиях, под какие ревизии и каким именно образом.

 

Ладно надо убегать.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем Ы!

config.default, в 1.0.36 B1/C1, аналогично 1.0.29, пароль тот же и тоже открытым текстом. Все прошивки публично доступны в сети.

 


 
 "passwd": [
...
 {
 "login": "support",
 "pass": "*bwe1fs9y*"
 }
 ],
 

 

пароль для support подходит в т.ч. для вышеобознаенной прошивки для F1, где он "зарисован" хэшем.

 


$ telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.

Dlink-Router login: support
Password:
Welcome to
     _______          ___     __  ____   _  _   ___
    |  ___  \        |   |   |__||    \ | || | /  /
    | |   | ||  ___  |   |__  __ |     \| || |/  /
    | |___| || |___| |      ||  || |\     ||     \
    |_______/        |______||__||_| \____||_|\___\

                     = Building Networks for People =                                                                                                                       
                                                                                                                                                                            
                                                                                                                                                                            

BusyBox v1.19.2 (2015-04-23 13:03:02 MSK) built-in shell (ash)
Enter 'help' for a list of built-in commands.

$

 

Этот же пароль открытым текстом присутсвует в libdhal.so.

 

.text:00036414 la $t9, json_string
.text:00036418 jalr $t9 ; json_string
.text:0003641C addiu $a0, (a*bwe1fs9y* - 0x40000) # "*bwe1fs9y*"
.text:00036420 lw $gp, 0x28+var_18($sp)
.text:00036424 la $a1, aStaticWanStart # "static wan started"
.text:00036428 la $t9, json_object_set_new_nocheck

 

Делаем вывод, что пароль не меняется, а тянется всю жизнь и где ещё продырявлено под РТК ХЗ.

 

Нет, ну вот кто-то считает, что никто раньше это не расколупал? Вот уверен на 100500%, что расколупали и уже давно свили себе гнёздышко. Всмысле не РТК, а другие добрые дяди, с "зорином".

 

P.S. Первый и последний символ прикрыл звёздочками, хотя никто не мешает вытащить из вышеозначенных прошивок.

 

PP.S. Более того, судя по всему в ранних версиях достаточно просто слить конфиг и погрепать на тему support. После сброса в админку пускает со штатным админ паролем, при этом support юзер активный, т.е. в слитом сразу после включения конфиге скорее всего оно так же будет, и так же в заивисмости от версии или хэш или открытым текстом. Так что никаких доп телодвижений не требуется.

 

P.SS. Тут целая тусня роутеродрючильщиков https://forum.antichat.ru/threads/398971/page-307 в т.ч. с использованием CWMP.

 

PP.SS. Так что ХЗ кто тут идиот или параноик. Дальше копать лень. Времени дохера. А время деньги. Для меня достаточно, что десятки тысяч устройств в сети РТК продырявлены, что бы поставить крест на такой "замечательной" конторе.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 6/1/2018 в 15:06, sfstudio сказал:

Т.е. как минимум в РТК софте безобразие с CWMP имеет место быть.

Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке.

 

Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо.

 

Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

54 минуты назад, getasbrb сказал:

Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке.

 

Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо.

Хорошо если так.

 

Публичные != официальные. Публичные - те что находятся в публичном доступе. Т.е. сюда же входят и РТК прошивки и нет никакой разницы кто их опубликовал.

При обновлении на официальные версии без сброса дырка так же сохраняется. И опять таки не важно, штатный это механизм или нет.

 

И не "и тут мимо", а только тут и мимо и то под вопросом, т.к. у вас железо на BCM которое РТК не поставлялось судя по всему, там же есть ещё и риалтэки. Явное рукоделие прослеживается только в Ralink/Mediatek от них.

 

А рейтинги составлять эт явно не сюда. Не имеет значения от слова совсем на каком месте безобразие, важен факт наличия.

 

Цитата

Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал.

Что никак не отменяет ни дырки, ни наличия этих самых буратин, ни объёмов поставок продырявленного софта в количестве ни одного десятка тысяч, что аж на стопку ревизий (что по сути у длинка разные девайсы).

 

Факт есть факт. Хоть буратины, хоть мальвины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.