[ Ivan.Markovic @ 17.02.2010. 15:54 ] @
Vec smo imali teme koje govore o raznim izmenama na ADSL modemima pa rekoh da dodam nesto novo :)

Vecina modema koje nudi Telekom nema nikakvu CSRF (Cross-site request forgery) zastitu tako da je moguce vrsiti izmene podesavanja iako je pristup modemu zabranjen (osim sa lokalnog LANa).
Moguce je kreirati takve web stranice koje bi vrsile izmene na modemu sa kojeg je stigao korisnik.

Npr (Huawei HG510) ucitamo iframe: http://PUBLIC_IP_OF_USER/passw...ysPassword=BASE64_NEW_PASSWORD
Ili (Huawei SmartAX MT882): http://PUBLIC_IP_OF_USER/Actio...ot=1&reboot_loc=0&id=5

Naravno ostaje da korisnik mora da bude ulogovan na ruter/modem da bi ovo radilo ali kako je Telekom svima stavio iste user/pass moguce je direktno i ulogovati korisnika.
Npr: http://telekom:telekom@PUBLIC_...ysPassword=BASE64_NEW_PASSWORD, u svim browserima (osim IE jer on ne podrzava vise URL auth) ce izaci obavestenje da cemo biti ulogovani na modem ali uz malo maste (citaj socijalni inzenjering, clickjacking, ...) sve je moguce ;)

Ali, ima jos nesto opasnije, ako ucitamo iframe sa putanjom: http://PUBLIC_IP_OF_USER/rebootinfo.cgi a korisnik ima modem Huawei HG510 automatski dolazi do restartovanja modema (preskace se autentifikacija).
Odlicna metoda za DoS korisnika.


Telekom i Huawei su obavesteni. Advisory se nalazi ovde: http://netsec.rs/18/huawei-hg510-multiple-vulnerabilities/493/

Za sva pitanja stojim na raspolaganju ;) Btw, znam da ima jos security rupa na Telekom opremi pa bih zamolio i ostale pronalazace da ih objave na ovoj temi.

[ EArthquake @ 21.02.2010. 10:29 ] @
http://foundation.phearless.org/misc/killer.pcap :)

na par tih havajskih rutera/modema , ovi paketi prouzrokuju instant zapucavanje cim dodju do firewalla :) mada napad teoretski radi i od spolja, komplikovano ga je izvesti , jer razni ruteri izmedju masine koja salje maliciozni paket i havajca dropuju paket kao ne validan (divnog li cuda :) )