WPA2 security cracked TELENET HGW modem

[stuntlc]

Hallo ik ben Vic Delorge en heb een tijdje geleden de telenet HGW modem kunnen hacken ...
ik heb daar toen een topic over gemaakt ( zie topic ==> https://userbase.be/forum/viewtopic.php?f=50&t=42216 )
Telenet heeft ondertussen een FIX voor de problemen die ik gevonden had ...

Gisteren heb ik een zeer groot nieuw probleem gevonden in de WIFI security van de modems
dit probleem treft veel mensen omdat veel mensen hun standaard wachtwoord en netwerknaam niet veranderen

veelal veranderen ze dit niet omdat de wpa sleutel en netwerknaam op de sticker op de modems plakt

wireless_modem_sticker_ssid_wpa_macid.png (156.22 KiB) 15631 keer bekeken

ik zal niet zeggen hoe ik precies de wpa2 sleutels kan maken voor andere modems (omdat ik eerst wil praten met Telenet en een oplossing vinden voor dit probleem)

maar het probleem zit er in dat de ssid op het einde enkele cijfers zegt vb telenet-86145
deze cijfers zijn de laatste digits van de HFC MAC
en het eerste deel van de HFC mac is altijd het zelfde
dus aan de hand van de SSID kan je de HFC MAC van de modem te weten komen ...
en dan via een speciale manier de key voor de wifi daar uit verkrijgen ...

dit is dus een zeer groot probleem
want zo kan je sleutels maken voor andere mensen hun netwerk/modem
dit is doenbaar in 5 min dus redelijk simpel nog ook

ik wil wel verduidelijken dat ik niet WPA2 kan cracken
maar enkel de manier waarop Telenet de standaard sleutels maakt

het goede nieuws is dat je uzelf hiertegen direct kan beveiligen door zelf een wpa sleutel en netwerknaam in te stellen
zie voor info hoe je dit kan doen op mijn telenet ==> http://klantenservice.telenet.be/conten ... -instellen

maar mijn test hebben uitgewezen dat veel mensen dit niet doen
als ik eventjes rond rij met men fiets en een android phone merk ik dan ongeveer 80 percent dit standaard wachtwoord laat staan op hun modems

Het probleem is wel dat Telenet dit moeilijk gaat kunnen patchen
omdat iedereen dan nieuwe sleutels in al hun toestellen zal moeten invoeren ( laptops,tablets,phones ,... )
en dat ook de stickers op de modems zullen moeten vervangen worden ...

ik heb het probleem vandaag gemeld aan telenet ...

[cyrano]

Gekend probleem met kabelmodems en sommige andere routers...

[Tomsworld]

Dat is nog al gebeurd het zou wel slordig zijn van Telenet, maar misschien heeft Belgacom met de bbox2 / 3 wel hetzelfde probleem.

Het doet me denken aan die keer met al die Speedtouch modems.

[Robert Ford]

Dit is gewoon schandalig...

Ik denk dat ze gewoon een mailing gaan doen naar alle klanten met een tutorial hoe ze hun default password kunnen wijzigen.

Zou me toch verbazen moest je nu toch geen NDA onder je neus geduwd krijgen om je het zwijgen op te leggen aangezien ze het niet kunnen patchen...

[ubremoved_2964]

patchen zal lastig worden, ze moeten al die stickers opnieuw drukken en opsturen .....

heb zelf nog bij ISP's gewerkt, hier staan ze niet voor te springen
de meeste klanten negeren trouwens zulke info mails/schrijvens

was het nu zo moeilijk om een random password generator te nemen, en voor elk MAC een bijhorend random WPA key te maken



prutsers ....

[cyrano]

schandalig?

Misschien. Ik vrees eerder "business as usual"...

Eén van de voorbij series Philips routers en minstens één van de Bboxen had een analoog probleem. Erger, eigenlijk, want daar kon je 't paswoord berekenen uit het Mac adres.

Zowat alle oudere SOHO routers zijn makkelijk penetreerbaar. In de meeste gevallen komen er geen updates, vanwege obsolete..

[gm123]

Sterk dat je dit gevonden hebt en als het inderdaad zo "simpel" is, is dat wel een redelijk groot probleem. Ik ga even gokken en zeggen dat je dus waarschijnlijk de "random number generator" achter de WPA key gekraakt hebt omdat deze vertrekt van het MAC adres? Eigenlijk is het dus niet random, maar eerder een soort van hashing? Houdt ons alvast op de hoogte!

Trouwens, nu dat je modem hack gepatched is, mogen we niet weten hoe je het hebt klaargekregen?

[krisken]

Knap gevonden. Hier ook even snel een scan gedaan en inderdaad, ik zie hier al gauw een 30-tal wifi's op komen met dergelijk SSID...
Leuk dat je ons op de hoogte brengt! Doe jij toevallig ook hacking op bbox 2 of bbox 3? Eventueel andere zaken?

[Dettie]

Knap gevonden, hier gebruikt iedereen in de straat de standaard telenet-xxxxxx

Ikzelf gebruik ook de standaard naam, maar heb de key wel gewijzigd naar iets simpeler en volgende instellingen gewijzigd bij mijn telenet

WPA2 PSK AES only
Wifi N only
eigen key

[stuntlc]

even ter verduidelijking
zo makkelijk is het nu ook weer niet ee mensen

maar ik bedoel maar da eenmaal je weet hoe het werkt
je dit kan doen in ongeveer 5 min (omdat het verschillende stappen vereist @the moment en ik het nog niet gescript heb )
en ik heb niet het algo gehackt ofzo maar gebruik een trick ...

ivm met zeggen hoe ik de modem heb gehackt
ik zal dit zeker hier nog wel posten eenmaal iedereen de nieuwe firmware heeft gehad
voor de moment ben ik denk ik 1 van de weinige die de update al heeft
omdat telenet me gevraagd heeft om een security test te doen op deze nieuwe firmware
maar ze hebben wel al de interne testing enz gedaan eer ze het naar mij flashten dus ik denk dat iedereen binnekort wel een update zal krijgen ...

[cyrano]

Wat betreft veiligheid andere routers, lees dit maar eens na:

http://www.makeuseof.com/tag/1-2-millio ... e-of-them/

Dit artikel is recent, maar het gat in UPNP/NAT-PMP is al veel langer gekend. Er is bv. al een MetaSploit module voor:

https://community.rapid7.com/community/ ... rabilities

Dit Perl script dateert al van 2008:

http://www.perlmonks.org/index.pl?node_id=659847

[stuntlc]

de telenet HGW modem is NIET kwetsbaar voor het NAT-PMP probleem

idd cyrano
het NAT-PMP lek van RAPID7 zit wel in veel andere routers die aangesloten worden op mensen hun netwerk
(zoals linksys,netgear,d-link zelfs openwrt ... )

[stuntlc]

dit probleem is juist nog erger geworden
ik heb ontdekt dat de digboxen over upnp beshikken en als je dus op het netwerk zit van iemand
of op je eigen netwerk kan je via upnp veel dingen doen ...

je kan zien naar welk kanaal ze aan het kijken zijn ...
dit werkt via snmp en daarvoor heb je wel nog een extra passwoord voor nodig

je kan ook hun opgenomen programmas zien
en denk zelf dat je dingen kan opnemen en deleten enz (dat moet ik nog testen )

zie volgende fotos

dit is wat de upnp tool vind

en dit is via snmp

[ubremoved_2964]

eenmaal je op een LAN binnen zit, is het vaak kaas met gaten
dit soort upnp protocols is niet gemaakt om secure te zijn, maar om snel zaken te delen binnen je thuisnetwerk

[stuntlc]

ik heb contact gehad met iemand van telenet , en ik zal deze middag het probleem volledig uitleggen en alle stappen verduidelijken ...

ik wil wel nog eens zeggen dat het niet zo makkelijk te exploiten is en dat er ook een speciaal iets nodig is die niet veel mensen hebben ...

ze waren wel niet blij dat ik het gepost heb hier op userbase ...
omdat ik mensen ongerust maak volgens hun... maar ik zie het volledig anders ... door dat ik het hier meld kan je uzelf vandaag nog beschermen...

hopelijk ben ik de eerste die dit ondekt , want niet iedereen is zo whitehat als ik en meld het direct aan telenet , zoals ik doe ...

[ Post made via mobile device ]

[ITnetadmin]

De bedrijven zouden zich beter wat ongerust maken. Netwerken zijn bijna overal kaas met gaten aant nabootsen.
Dit lijkt op "security through obscurity", enfin, zijne kamergenoot, "wat niet weet niet deert", of ook nog, "we gaan geen uren dev en testing steken in iets dat 95% van de klanten toch niks aan heeft".

Trouwens, userbase mensen weten meestal beter. Int ergste geval kunnen we altijd een restricted forum maken waar ge ingelogd moet zijn, om die dingen te posten. Dan indext google het niet en is er minder kans dat paniekerige mensen het opmerken.

[ Post made via mobile device ]

[cyrano]

De reactie op zo'n melding is bijna altijd verkeerd.

In 2011 een lek bij een groot bedrijf gevonden: hun office printers, waarmee je kan kopiëren, scannen, printen, faxen en mailen, bleken de bron van 't lek te zijn. De IT afdeling dacht dat de leverancier het mailen beperkt had tot hun eigen domein, maar dat klopte niet.

We zijn nu drie jaar later en het is nog steeds niet aangepast. Er heeft even een discussie gewoed of ze geen andere leverancier gingen kiezen. Uiteindelijk is men het gewoon vergeten. Eigen belangen binnen het directie comité waren veel belangrijker dan de belangen van 't bedrijf.

Dat lek heeft toen in totaal meer dan een miljoen euro gekost...

[tb0ne]

Zou je nu je opnames via upnp op niet telenet hardware kunnen bekijken?

[ubremoved_539]

ik heb contact gehad met iemand van telenet , en ik zal deze middag het probleem volledig uitleggen en alle stappen verduidelijken ...

Straks zit je in de kelders van Telenet

ze waren wel niet blij dat ik het gepost heb hier op userbase ...

Tja... typische "damage control" hé.

[philippe_d]

Zou je nu je opnames via upnp op niet telenet hardware kunnen bekijken?

Je opnames verschijnen op een DNLA media player, je kan alleen naar opnames kijken van niet-versleutelde zenders.

[MClaeys]

Nice

[rapidgorgon]

Als je begint aan het SNMP gedoe, ik heb daar vorig jaar als eens naar zitten kijken. Indien er nog niets veranderd is, zal opnames beheren via SNMP niet eenvoudig zijn, maar veel technische en niet-zo-technische informatie over de Digibox kon je wel gewoon via SNMPv2 opvragen in de standaard blackhole (dacht ik) community. Het is wel de bedoeling dat je de apparaten achter je firewall enigzins kan vertrouwen, dus dat lijkt me niet het grootste probleem.

[AndRo555]

De bedrijven zouden zich beter wat ongerust maken. Netwerken zijn bijna overal kaas met gaten aant nabootsen.
Dit lijkt op "security through obscurity", enfin, zijne kamergenoot, "wat niet weet niet deert", of ook nog, "we gaan geen uren dev en testing steken in iets dat 95% van de klanten toch niks aan heeft".

Trouwens, userbase mensen weten meestal beter. Int ergste geval kunnen we altijd een restricted forum maken waar ge ingelogd moet zijn, om die dingen te posten. Dan indext google het niet en is er minder kans dat paniekerige mensen het opmerken.

[ Post made via mobile device ]

Zoals de examenresultaten die op smartschool (online leerplatform voor middelbaar) kwamen, waar je met een edit in de developer tools (hoe heet dat F12 menu?) een nummer kon gaan editen en examenresultaten van iedereen kon zien, gepubliceerde en nog niet gepubliceerde.

[svenska]

Dit verhaal gaat een staartje krijgen, gezien Telenet niet zomaar de huidige manier van WPA key generator kan stoppen, want dan moet minstens de helft of meer van al hun klanten met HGW modem hun sleutel op alle apparaten in huis wijzigen, waar de pers zal opspringen in de negatieve zin.

Net even gevraagd aan mijn collega's hier met zo'n HGW, en de meesten gebruiken inderdaad het meegeleverde wachtwoord als WPA key.

[BobbleZ]

Ik meende mij te herinneren dat ze (niet alleen telenet) dat extra aanhangsel aan de ssid's deden om wpa hacking via rainbowtables tegen te gaan ?
beetje ironisch dat nu op 5 min de standaard wpa key gecalculeerd kan worden ...

Chapeau dat ge op zo een leak uitgekomen bent, t zal effe mensen informeren worden in de buurt ..

[MClaeys]

In pincipe zou men met een update de standaard SSID's gewoon kunnen vervangen door anderen en dan moeten zij die de standaard SSID hadden gewoon opnieuw verbinding maken en hun key ingeven. Dat de SSID op die stikker niet klopt kan toch niet zoveel kwaad?

[svenska]

Klopt, maar wat ze ook doen, dit gaat negatief de pers in gaan...
En reken al die extra support calls naar de helpdesk er eens bij: dit gaat geld en tijd kosten!

[ITnetadmin]

Wie berekent er nu ook het pwd via het mac adres? Da's er toch om vragen, als je weet dat het mac adres getoond wordt in de ssid (en het vendor gedeelte af te leiden valt).

Aangezien al die stickers dan niet meer kloppen, wordt dat idd een helpdesk nachtmerrie. Vandaar wss dat ze niet wilden dat dit publiek gemaakt werd. De vorige bug was niet meer dan intern patchen, deze kan een kostelijke support grap worden.

[ Post made via mobile device ]

[Tomby]

Support grap... Goh, misschien moeten ze in eerste instantie ook de klant beter educeren. Dat er nog veel klanten zijn die gewoon de moeite niet nemen om op Mijn Telenet zelf hun key te gaan kiezen is op zich toch ook al een probleem ?

Op zich moet de communicatie dus gewoon zijn dat iedereen best zijn WPA key aanpast op mijn Telenet, een beetje zoals er regelmatig aangeraden wordt om bij site X of Y je paswoord te veranderen omwille van een mogelijk lek. Toegegeven, de negatieve pers ga je er gratis bij krijgen. Dus ik denk dat het eerder een marketing ramp dan wel support ramp is.

[ITnetadmin]

Klanten vinden vaak dat dat "gewoon moet werken".

En waar denk je trouwens dat al die klanten naartoe gaan bellen als ze iets horen in het nieuws daarover? Juist ja, de helpdesk. Enfin, de grote meerderheid gaat van niks weten en dus gewoon verderdoen zo; da's dan weer een liability als ze die niet "dwingen" een fix door te voeren.
Dus aantal telefoons omhoog. Daarom ook dat support een van de slachtoffers in deze kan zijn.
Laat staan als telenet zelf via een update de wifi paswoorden verandert. Kan je je de chaos dan indenken? "het internet werkt niet meer" gaat dan de meestgebruikte zin worden aan de telefoon (want laat het uit dat de klant iets meer weet dan dat).

[ Post made via mobile device ]

[Tomby]

Zelf de paswoorden wijzigen gaan ze inderdaad nooooit doen. Als ze al iets gaan doen, is het gewoon een mailing met te wijzen naar Mijn Telenet en dat je daar een nieuw SSID en Key zelf kunt kiezen.

[ubremoved_539]

En reken al die extra support calls naar de helpdesk er eens bij: dit gaat geld en tijd kosten!

Tja... Telenet wou iedereen een HGW opdringen omdat het eenvoudiger te ondersteunen was.

Nu er problemen zijn vinden ze het plots "vervelend"... daar waar men gewoon z'n verantwoordelijkheid moet nemen (en desnoods naar iedereen een technieker sturen).

[xayana]

Altijd SSID aanpassen in iets leuks ipv die saaie telenet-12345

[ubremoved_2964]

Oh boy ...



Als je hier de waarheid zou posten, banned van hun page ... ?

[BobbleZ]

Juist effe in de vlucht gekeken.

heb int straat effe rondgefietst met de ipad , 3 van de 5 telenet-xxxxx die hier zijn hun bssid komt quasi overeen met dat aanhangsel dat achter de ssid hangt

voorbeeld
telenet-C81A4 met bssid 82:D7:3B:8C:81:AB (voorbeeld ssid enzo )

degene die ik tegengekomen ben zijn dus allemaal van deze vorm (laatste char is verschillend)

de 2 andere access points zijn totaal verschillend en is niets mee aan te vangen

Als bij die access points met 1 cijfer verschil een script geschreven wordt dat die elk cijfer of letter daarop toepast hebt ge volgens mij 36 keys te genereren. en 1 zal nog wel de juiste zijn wat het probleem van gewoon ssid veranderen niet helemaal oplost


of ga ik hier te kort door de bocht en zijn het toevalligheden ?

ps: pakt mij niet op getallen , ik ben slecht in wiskunde en heb snel geteld van 0-9 en a-z

[ITnetadmin]

Tzijn hexas, dus tzal wss 0-9 en A-F zijn.

[ Post made via mobile device ]

[cyrano]

Wie berekent er nu ook het pwd via het mac adres? Da's er toch om vragen, als je weet dat het mac adres getoond wordt in de ssid (en het vendor gedeelte af te leiden valt).

Je hebt gelijk, 't is een dom idee. Maar bijna alle kabelmodem fabrikanten en een ruim deel van de SOHO router fabrikanten zijn ooit op 't zelfde idee gekomen.

[BobbleZ]

ps: pakt mij niet op getallen , ik ben slecht in wiskunde en heb snel geteld van 0-9 en a-z

ja had het door toen ik het poste , zijn dus nog minder nodige combinaties

[rtl]

ik denk dat je de beginpost nog maar eens moet lezen

[stuntlc]

ik denk het ook
en ik heb dit misschien niet helemaal duidelijk gemaakt maar het werkt enkel op de compal broadband network modem's
dus modellen CH6643e en CH6541e
maybe ook de super oude zo als op de sticker in de begin post maar daarop heb ik het niet kun testen

dus enkel op bssid's die beginnen met 5C:35:3B
wifi analyzer tool voor android kan u de modems tonen die compal broadband networks zijn