Discussione TIM Sercomm probabilmente vulnerabile PMKID

[peste666]

Ciao a tutti ragazzi!
Era tanto che non passavo di qua!

Scrivo e creo questa discussione per informare a voi tutti (e magari discuterne avendo riscontro) che ho recentemente scoperto, sperimentando nelle mie 4 mura il piu possibile che i modem TIM fibra, quelli Sercomm (AGCOMBO) che hanno una stragrande maggioranza degli abbonati Telecom, sono vulnerabili al piu o meno "recente" attacco al PMKID. le mie stime al momento sono 6 router su 6, in meno di 5 minuti.

Un veloce Background:
L' attacco non necessita la cattura completa di un Handshake, riguarda invece l'RSNIE di un frame EAPOL.

This vulnerability is exploited on the Robust Security Network Information Element (RSNIE) of a single EAPOL frame. It uses HMAC-SHA1 to derive the PMKID with the key being the PMK and its data being the concatenation of a fixed string “PMK Name” which incorporates the access point and station MAC addresses.

L' attacco non è in ogni caso risolutivo, rimane sempre la parte finale di bruteforce, ma è estremamente piu veloce e puo essere compiuto in uno scenario più vantaggioso:

• Non si necessitano client connessi all'ap
• Non necessita l'attesa di un Handshake completo tra utente e ap

Ma cosa ancora migliore, non necessita piu che chi attacca sia in una posizione vantaggiosa ed estremamente vicina all'ap. con una antenna TPLINK da 6dbi e la mia amata ALFA AWUS036NH sono riuscito senza problemi anche ad ottenere PMKID di ap abbastanza lontani.

Venendo al dunque, il modem in questione è questo:

https://assistenzatecnica.tim.it/at...ce=consumer_root&nodeId=/AT_REPOSITORY/834003

Comunque gli ssid testati sono tutti TIM-XXXXXXXX, e nel 100% dei casi l'attacco è andato a buon fine.

Piccola parentesi su password e bruteforce:

La password di default di questi modem è di 16 caratteri, charset inclusi lowercase, uppercase, 0123456789. Non ho condotto altre ricerche sull'eventuale ciclicità nel posizionamento di numeri o caratteri, (cosa che semplificherebbe la creazione di un dizionario) ma nel caso in cui la password di default sia stata modificata in una piu semplice, diciamo che con una wordlist normale si può ottenere un risultato in tempi brevi, utilizzando magari un servizio di cracking online.

Se qualcuno di voi ha voglia di discuterne o di provare a confermare la mia teoria, quì è il luogo!

Grazie a tutti,
P666

P.S. Sarei felice di scrivere una guida su questo attacco, in caso non ce ne fosse già una presente. Se volete, fatemelo sapere!

 

[waido]

Ciao,

scrivi pure la tua guida. Almeno un lettore lo hai trovato.

 

[faggella]

secondo lettore presente

 

[peste666]

Va bene, la scriverò domani pomeriggio. Spero qualuno possa sperimentarla su un router TIM

 

[blackcall]

buonasera, aspetto anche io una guida, grazie in anticipo

Messaggio unito automaticamente: 8 Febbraio 2019

ciao @peste666 aspettiamo la tua guida

 

[peste666]

guida fatta! ora testate e fatemi sapere

 

[JustARegularGuy]

Ciao a tutti ragazzi!
Era tanto che non passavo di qua!

Scrivo e creo questa discussione per informare a voi tutti (e magari discuterne avendo riscontro) che ho recentemente scoperto, sperimentando nelle mie 4 mura il piu possibile che i modem TIM fibra, quelli Sercomm (AGCOMBO) che hanno una stragrande maggioranza degli abbonati Telecom, sono vulnerabili al piu o meno "recente" attacco al PMKID. le mie stime al momento sono 6 router su 6, in meno di 5 minuti.

Un veloce Background:
L' attacco non necessita la cattura completa di un Handshake, riguarda invece l'RSNIE di un frame EAPOL.


L' attacco non è in ogni caso risolutivo, rimane sempre la parte finale di bruteforce, ma è estremamente piu veloce e puo essere compiuto in uno scenario più vantaggioso:

• Non si necessitano client connessi all'ap
• Non necessita l'attesa di un Handshake completo tra utente e ap

Ma cosa ancora migliore, non necessita piu che chi attacca sia in una posizione vantaggiosa ed estremamente vicina all'ap. con una antenna TPLINK da 6dbi e la mia amata ALFA AWUS036NH sono riuscito senza problemi anche ad ottenere PMKID di ap abbastanza lontani.

Venendo al dunque, il modem in questione è questo:


Comunque gli ssid testati sono tutti TIM-XXXXXXXX, e nel 100% dei casi l'attacco è andato a buon fine.

Piccola parentesi su password e bruteforce:


Se qualcuno di voi ha voglia di discuterne o di provare a confermare la mia teoria, quì è il luogo!

Grazie a tutti,
P666

Fare un bruteforce con le password di default è un suicidio se non hai un pc della NASA.
Anyway bello a sapersi

 

[blackcall]

ciao, grazie per la guida, per come ho capito e un metodo che velocizza il metodo con un dizionario creato da noi, ma se nel dizionario non c'è la password corretta non la troveremo mai, e buono solo per velocizzare anche se non si sa di quanto, tipo con la tim, vodafone per trovare la password mi sa che e sempre una cosa impossibile o quasi impossibile, peccato

Messaggio unito automaticamente: 13 Febbraio 2019

 

[peste666]

ciao, grazie per la guida, per come ho capito e un metodo che velocizza il metodo con un dizionario creato da noi, ma se nel dizionario non c'è la password corretta non la troveremo mai, e buono solo per velocizzare anche se non si sa di quanto, tipo con la tim, vodafone per trovare la password mi sa che e sempre una cosa impossibile o quasi impossibile, peccato

Messaggio unito automaticamente: 13 Febbraio 2019

Esatto. è solamente un nuovo approccio per ottenere l'hash da decriptare. Ovviamente essendo illegale crackare reti wifi non proprie, valutiamo soltanto il lato teorico studiando le varie vulnerabilità e come agiscono gli script che le sfruttano.

 

[blackcall]

peccato, aspetterò qualche metodo per quei 2 modem/router e anche per altri modelli diversi che e difficile riuscire ad'ottenere la password,
sperando che un giorno uscirà un metodo buono per la maggiorparte dei modem/router, grazie lo stesso per la guida

 

[Joey93]

guida fatta! ora testate e fatemi sapere

Ciao, dove trovo la guida?