Root toegang tot Telenet HGW

[stuntlc]

Hallo

Ik heb reeds lange tijd root acces tot men telenet modem ...

Ik ben altijd een beetje bang geweest om dit te melden omdat ik niet goed wist hoe telenet hier mee zal omgaan ???
Ik zal voorlopig niet releasen hoe ik in de modem geraakt ben , zodat telenet tijd heeft om die dingen te fixen ...

Eerst en vooral ik ben GEEN evil hacker ofzo die andere mensen hun modem wil hacken ...
Ik was gewoon nieuwsgierig naar wat er in dat kleine zwarte bakje die aan de muur hangt zit ... en hoe dit allemaal werkt ???

Het begon allemaal in 2012 toen ik in de modem only een webpagina vond die nog niet veel mensen gezien hadden .
Toen begon men modem hacking avontuur ... ik heb er in der tijd een topic over gemaakt hier op het forum en veel mensen lachten het toen weg als niet belangrijk ( omdat ik toch niets kon veranderen enz) ...
maar ik heb toen veel belangrijke info gevonden op de site van CBN over hoe alles werkte enz ...

na veel trial and error heb ik full root acces tot beide chips op de wifi CH6643e modem ( intel puma 5 chip , en realtek 8198 )

Het eerste wat me opviel is dat beide chip's een versie van linux draaien dit vond ik wel cool
Toen ik alle commands zag die ik kon doen merkte ik direct dat deze hack redelijk erg is ...
Maar het ergste dat ik gevonden heb is dat er in de modem firmware een sniffer zit ( tcpdump )
Na wat testen kon ik de telefoon gesprekken beginnen afluisteren en kon ik de audio uit de pcap's filteren met wireshark

en het werd enkel maar erger er draait namelijk standaard een telnet shell op de wan0 poort dus ik denk dat ze dit kunnen gebruiken vanuit telenet om mensen afteluisteren en ook al hun internet verkeer te sniffen ( ik heb wel geen bewijs dat dit ook gebeurt ) maar de capaciteit is er ...
en met de recente nsa ( snowden ) revelaties is dit niet ondekbaar .

Verder vond ik ook een manier om een permanente backdoor in de modem te plaatsen , die zelf firmware update's overleeft ...
ik kan gewoon via telnet inloggen op de modem ...

Ik ben toen ook een stap verder gegaan en beginnen uitzoeken hoe ik men eigen code kon draaien op de modem ...
ik heb ondertussen een simpele game gecompiled voor de modem 2048


Heb ook net-snmp, en wat andere tools kunnen cross-compilen voor deze arm processor ...

Ik heb nog meer dingen gevonden zoals config files voor de modem , en certificaten , dus in theory zou je met deze hack modems kunnen clonen denk ik maar dat was niet men doel en daar heb ik dan ook niet veel tijd aanbesteed ...

eenmaal ik in de modem zat kon ik ook de firmware voor deze modem en de modem only downloaden ( recente , en oudere versies )

even ter verduidelijking dit werkt enkel op men eigen modem ik kan niets doen met andere modems ...
dit wordt via de config files in de modem beveiligt enkel als je van de telenet management ip range komt kan je met andere modems praten ...

deze hack is een probleem om de volgende redenen

- je kan telefoon gesprekken en internetverkeer afluisteren
- je kan malware in de modem plaatsen
- je kan de telenethomspot sniffen die normaal volledig gesheiden is
- je kan wifi keys uit de modem leezen
- je kan de firewall aanpassen
- je kan firmware downloaden van telenet servers
- je hebt full root acces

Ik heb ook de bootloader unlocked dus in theory kan ik zelf custom firmware flashen naar de modem .
heb de modem als eens gedowngrade via deze manier


ik kan ook pop a box via malformed wifi ssid trick doen


update
----------
men exploit werkt ook op het ietsje oudere model CH6541E
ik kan wel niet bevestigen of daar ook een sniffer in zit omdat ik deze modem nog niet aan het netwerk heb gehangen en deze nog een oude firmware draait ... dit was men development modem om code op te compilen voor de oude linux kernels ...

langs de eene kant zou ik graag hebben dat telenet dit zo laat zodat mensen als ik kunnen experimenteren met de modem ,maar ik denk dat ze dit snel zullen patchen ... ik zou wel eens willen weeten waarom ze een sniffer in alle wifi modems in belgie hebben ??? dit is totaal niet nodig voor de werking van de modem ...

hopelijk kom ik hierdoor niet in teveel problemen ( ik vind dat ik niets illegaals gedaan heb ) ( heb enkel research op men eigen modem gedaan ) ik wou gewoon eerlijk zijn en melden wat ik gevonden heb zodat telenet dit kan fixen en dat de modem's veiliger worden .
indien telenet meer info wenst kunnen ze me contacteren via een private message

[Avenger 2.0]

Mooi Inderdaad wel raar van die sniffer en remote telnet access. Misschien dat het gewoon onschuldig wordt gebruikt voor support en troubleshoot doeleinden, maar toch niet erg veilig. Ik neem aan dat als jij dit kan en ontdekt hebt er misschien meer kwaadwilligen zijn die al jaren zo inbreken in de telenet modems/hgw's om zo data en telefoongesprekken af te luisteren.

[raf1]

Hopelijk gaan meer mensen nu eens nadenken waarom de massale verspreiding van de Telenet Homegateways een enorm veiligheidsrisico vormt.

[svenska]

Je moet uiteraard niet vertellen hoe je binnen bent geraakt, maar heb je hier langduring een password checker op losgelaten om het root pw te krijgen, of is er weldegelijk een lek zodat je zonder root pw binnen geraakt?

[ubremoved_2964]

Leuk om weten, bevestigt mijn theorie alleen: dankzij die HGW zitten ze effectief binnen op je LAN, en zeker nu bevestigd wordt dat er zelf een sniffer op staat, klopt mijn vermoeden.

Trouwens, is dit niet de zoveelste GPL violatie ?

[iRockabizzydilly]

Straf :S ik zou toch graag het antwoord hierop van Telenet zien.

Even terzijde: U kennis is duidelijk uitstekend, enige kans op admin toegang mogelijk maken op een Bbox3?

[ubremoved_539]

deze hack is een probleem om de volgende redenen

- je kan telefoon gesprekken en internetverkeer afluisteren
- je kan malware in de modem plaatsen
- je kan de telenethomspot sniffen die normaal volledig gesheiden is
- je kan wifi keys uit de modem leezen
- je kan de firewall aanpassen
- je kan firmware downloaden van telenet servers
- je hebt full root acces

Zoals je al aangaf kan je dit enkel voor je eigen modem en is het nut dus beperkt. Ik denk dat je wel begrijpt dat TN (moest het dit willen misbruiken) veel eenvoudiger kan op hun eigen servers waar identiek hetzelfde verkeer voorbij komt. Het heeft dus een beetje weg van wat FUD creatie en daar springen natuurlijk altijd een aantal mensen op met dramatische uitspraken.

Dit alles neemt niet weg dat er een issue is met de beveiliging en dat men dit moet oplossen.

heb de modem als eens gedowngrade via deze manier

Misschien grappig maar ik vrees dat TN er niet mee kan lachen.

ik zou wel eens willen weeten waarom ze een sniffer in alle wifi modems in belgie hebben ??? dit is totaal niet nodig voor de werking van de modem ...

Misschien omdat het gewoon standaard functionliteit is ?

hopelijk kom ik hierdoor niet in teveel problemen ( ik vind dat ik niets illegaals gedaan heb )

Ik denk dat je duidelijk in overtreding bent met de voorwaarden van je contract !

[tb0ne]

Trouwens, is dit niet de zoveelste GPL violatie ?

+1! (old school style)

[ubremoved_2964]

ik zou wel eens willen weeten waarom ze een sniffer in alle wifi modems in belgie hebben ??? dit is totaal niet nodig voor de werking van de modem ...

Misschien omdat het gewoon standaard functionliteit is ?

Bewijs ?

hopelijk kom ik hierdoor niet in teveel problemen ( ik vind dat ik niets illegaals gedaan heb )

Ik denk dat je duidelijk in overtreding bent met de voorwaarden van je contract !

Ik denk dat Telenet duidelijk in overtreding is met de voorwaarden van de GPL (alweer).

Trouwens eens gezocht op "COMPAL BROADBAND NETWORKS gpl", geen directe info te vinden .... dus duidelijk overtreding.
Aan GPL written offer moet immers voldaan zijn.

[stuntlc]

het zou wel kunnen dat ik de fijne letterkes van men contract niet gelezen heb ...
maar ik denk niet dat dit standaard functionaliteit is ( ik heb al meerdere fimrware's gecontroleerd en dit zit enkel in telenet modems met nieuwe kernel zat vroeger er niet in trouwens ) is nog maar onlangs toegevoegd ... daarom dat ik ook aan de alarmbel trek .

voorbeeldje van een tcpdump op cni0 ( je ziet de site's enz dat ik bezoek en kan de paswoorden van http site extracten uit de dumps )...
via dit kunnen ze op je lokaal netwerk sniffen normaal kan telenet dit niet zien want dit paseert niet over internet ...

[ubremoved_2964]

ZIe ik dat goed dat de modem geen public wan IP meer heeft ?

Gewoon een 10.X adres op wan0 .... carrier grade nat ?

[tb0ne]

Eerder telenet internal IP range faken denk ik...

[ITnetadmin]

Laat ons t hopen.

[ Post made via mobile device ]

[Avenger 2.0]

Of een dubbele IP? Een interne voor 10.x voor telenet zijn intern netwerk en een public wan voor de gebruiker.

[ubremoved_539]

maar ik denk niet dat dit standaard functionaliteit is ( ik heb al meerdere fimrware's gecontroleerd en dit zit enkel in telenet modems met nieuwe kernel zat vroeger er niet in trouwens ) is nog maar onlangs toegevoegd ... daarom dat ik ook aan de alarmbel trek .

Wie weet is het wel van Telenet... volgens duistere gedachten zal het wel van de NSA zijn

als ik sniff op mta 0 hoor ik gewoon de gesprekken van de telefoon ...

Kan je ook je SIP gegevens zien... heb je al geprobeerd met een eigen SIP device aan te loggen

[ubremoved_2964]

de echte wan zit volgens mij op lbr0 ?
broadcast 213.X.X.X

[Avenger 2.0]

Hoe pusht telenet eigenlijk port-forwards en andere instellingen naar de HGW?

[Fatsie]

Indrukwekkend werk geleverd, maar toch even meegeven dat 'tcpdump' niet 1 of andere duistere binary is maar een standaard tool op talloze *NIX distributies. Of deze ook op zijn plaats is op CPE is een andere discussie, maar ga er maar gewoon vanuit dat je ISP zo goed als alles van je verkeer kan zien.

[stuntlc]

@ r2504
ik kan alle telefoon settings zien enz maar ze werken niet via sip maar via packetcable (denk ik )dus kan je niet zo gemakkelijk instellen op een ander toestel ... heb me er nog niet in verdiept

@ub4b
the modem heeft een publiek 213.x.x.x adres op lbr0
en dan heb je wan0 10.x.x.x adress voor intern netwerk telenet
en 10.y.x.x. voor mta0 telefoon endpoint's

@Avenger 2.0
ze gebruiken snmpV2 op de wan0 interface , 10.x.x.x adres praat met managment ip range 195.132.x.x
heb eens zon portforward ingesteld via mijn telenet en terwijl gesniffed in de modem ... je kan trouwens hun snmp community zien in cleartext maar de modem antwoord enkel op traffic die van 192.132.x.x range komt dus dat zit wel veilig...
tenzij je u config enz kan aanpassen die via hun tftp gedownload word tijdens het bootproces daar staan alle filters en acces ip's in die kunnen settings veranderen ...
je kan ook manueel portforwden door enkele iptabel rules toe te voegen ...

[t-town]

Is dit ook mogelijk als men geconnecteerd is via een homespot?

[ Post made via mobile device ]

[stuntlc]

nee gelukkig niet ( kan niet remote of via wifi - homespot gedaan worden )
de manier om initieel acces te krijgen tot de modem is redelijk ingewikkeld dus geen zorgen

[beele]

Kan je hiermee ook bv poorten 80/443 e.a. deblokkeren of zit dit op een hoger niveau (niet in de modem)?

[fryelectro]

Dat wordt gefilterd in de Telenet backbone...

[ Post made via mobile device ]

[ubremoved_2964]

reactie verplaatst naar nieuwe topic:

http://userbase.be/forum/viewtopic.php?f=50&t=42232

[liber!]

Kan je de up & down snelheid aanpassen?

[ubremoved_2964]

Ik vermoed dat traffic shaping centraal gebeurt ... heb me laten vertellen dat TN daarvoor dit gebruikt (in 2006)

http://en.wikipedia.org/wiki/P-Cube

Anderzijds heb ik zelf nog gewerkt voor een firma die sattelietcommunicatie op de markt brengt, en daar werden alle satmodems centraal geshaped .... één shaperdoos kon vlot 10.000 modems shapen.

[stuntlc]

ik was dit vergeten te melden in de begin post maar men exploit werkt trouwens ook op de CH6541e modem dat is bijna de zelfde modem maar een beetje ouder model ... ik kan wel niet bevestigen of de sniffer daar ook in zit omdat ik deze nog niet aan het netwerk heb gehangen ...

[stuntlc]

ik heb antwoord gekregen van telenet
ik heb een afspraak woensdag namiddag op hun hoofdbureau in mechelen
hij zij aan de telefoon dat ik niets te vrezen had ...
de network engineer waar ik mee heb gepraat zij ook dat hij ging zorgen dat telenet legal me nog een schriftelijke bevestiging daar van stuurt zodat ik op papier heb dat ze me niet zullen vervolgen ofzo ...

hij zij dat ik met 3 engineers zal mogen praten om de fouten te tonen en men oplossingen uit de doeken te doen ...
1 persoon die veel weer van digicorders , 1 die de firmware maakt , en 1 die veel weet over de modems .

tot nu toe vind ik dat ze dit zeer goed oplossen .

[stuntlc]

ik heb antwoord gekregen van telenet
ik heb een afspraak woensdag namiddag op hun hoofdbureau in mechelen
hij zij aan de telefoon dat ik niets te vrezen had ...
de network engineer waar ik mee heb gepraat zij ook dat hij ging zorgen dat telenet legal me nog een schriftelijke bevestiging daar van stuurt zodat ik op papier heb dat ze me niet zullen vervolgen ofzo ...

hij zij dat ik met 3 engineers zal mogen praten om de fouten te tonen en men oplossingen uit de doeken te doen ...
1 persoon die veel weer van digicorders , 1 die de firmware maakt , en 1 die veel weet over de modems .

tot nu toe vind ik dat ze dit zeer goed oplossen .

[Mod Edit] verplaatst (was in de verkeerde topic)

[ITnetadmin]

Ik zou, als ik u was, toch ns raad vragen aan ne advocaat gespecialiseerd in deze materie, om te checken dat die schriftelijke bevestiging legaal bindend is.

[ Post made via mobile device ]

[philippe_d]

hij zij dat ik met 3 engineers zal mogen praten om de fouten te tonen en men oplossingen uit de doeken te doen ...
1 persoon die veel weer van digicorders , 1 die de firmware maakt , en 1 die veel weet over de modems .

3 engineers, bijgestaan door iemand van hun juridische dienst?
of met verzoek om een NDA te tekenen?

[AndRo555]

Psst, vraag serieus geld voor je tijd, telenet zal wel buigen.
Of zeg dat je alleen iets zegt als ze beloven aan geen enkel bedrijf te vragen om te betalen voor hun netwerk! (Netflix...)

[ITnetadmin]

*kuch* poorten openen *kuch*

[ Post made via mobile device ]

[AndRo555]

Ook al.

En vraag ineens of ze alle limieten even willen weg doen.

[nickz]

Ik hoop dat je dan in ieder geval toch antwoorden zal krijgen i.v.m. die sniffer. Ik heb er geen probleem mee als dit door de Staatsveiligheid wordt gebruikt om bijvoorbeeld het internetverkeer te monitoren van figuren zoals die van Sharia4Belgium of in het geval van de tv-decoders voor het verzamelen van globale (anonieme) kijkcijfers, maar het opstellen van individuele profielen m.b.t. internetverkeer en kijkgedrag kan niet door de beugel; hierdoor komt de privacy van de gebruikers ernstig in het gedrang.

[Nr10]

Ik zou, als ik u was, toch ns raad vragen aan ne advocaat gespecialiseerd in deze materie, om te checken dat die schriftelijke bevestiging legaal bindend is.

[ Post made via mobile device ]

Zulke bedingen bestaan volgens mij niet. Maar goed, als ik jou was zou ik er gewoon wegblijven. Je zit met een ridderlijke idee en het siert je ergens dat je hieraan iets wilt laten doen maar er is ook iets absurd aan die situatie: jij die het grote bedrijf op z'n zwakte gaat wijzen. Dit hoeft niet problematisch te zijn (cfr. Sony die regelmatig hackers in dienst neemt) maar god weet heb je zonder het goed en wel te beseffen een intellectueel eigendomsrecht geschonden of bedrijfskritische informatie opengesteld.. je weet niet hoe je ''tegenpartij'' zich aan het bewapenen is.

/doemtheorie modus -off

[Heronic]

Als ze een brief gaan sturen wil dat zeggen dat de anonimiteit al opgegeven is.

[FlashBlue]

*kuch* poorten openen *kuch*

Psst, vraag serieus geld voor je tijd, telenet zal wel buigen.
Of zeg dat je alleen iets zegt als ze beloven aan geen enkel bedrijf te vragen om te betalen voor hun netwerk! (Netflix...)

Goed plan, naar daar gaan met als statement "ik geef jullie alleen info, als <insert eis>" , zèker doen als je wil dat legal achter je aankomt.
Achteraf in de krant "de hacker probeerde telenet af te persen door eisen te stellen in ruil voor het overhandigen van zijn vaststellingen", en erger, probeer maar eens in de rechtbank uit te leggen dat je het goed bedoelde als je eisen bent gaan stellen?

[stuntlc]

ik ben idd niet meer anoniem tegenover telenet
ze weten men naam ( vic delorge ) men leeftijd (28j) men opleiding ( cisco ccna) en men email en adres enz ... ik heb er dan ook geen geheim van gemaakt
ik wilde niet doen alsof dit een louche deal is en anoniem doen enz ...
ik vind namelijk dat ik niets misdaan heb ...

ik zal niet vragen om dingen te doen zoals sommige hier posten ... dat is zeker niet men bedoeling ... ik wil enkel zorgen dat de modems/digicorders veiliger worden ... en een uitleg waarom die sniffer er in zit ???

meer hoef ik echt niet . al vind ik het wel cool dat ik messchien eens hun netwerk labo zal mogen zien
dat zij de kerel aan de telefoon ( die trouwens zeer vriendelijk was en duidelijk niet van legal was maar erg veel wist over modems/digicorders) hij belde ook niet met een vast nummer ofzo maar gewoon met zen gsm en zij me zelf als ik de mail van legal niet ontvangen heb tegen morgen dat ik hem dat zeker moest laten weten ...

[Joe de Mannen]

Stel u bij zo'n labo vooral niet te veel voor.

J.