BBox Fibre by Numéricable… smells like p0wn4ge
mardi 10 avril 2012 à 10:34
Il y a quelques temps de cela, je vous avais raconté la belle histoire de Sam Synack et de la compromission totale de plusieurs millions de Neufbox. Certes, celle que je vais vous raconter aujourd’hui est moins spectaculaire, mais gageons que ce n’est que par manque de temps. Quand j’ai aménagé dans mon dernier appartement que j’ai voulu et choisi dans un périmètre de moins de 100m du NRA le plus proche, j’ai eu la mauvaise surprise de découvrir que ma ligne était raccordée sur un autre NRA, beaucoup plus loin et que ma dite ligne accusait une atténuation théorique de 82db. La bête, pas folle, avait choisi un immeuble câblé… enfin câblé. Avec des prises pas aux normes, problème que Numericable n’a jamais su détecter et que le technicien Bouygues a finalement refait de A à Z, surpris qu’il était que j’arrive à pinguer le premier routeur avec ce modem Castlenet backdooré et dont le wifi se couche dés qu’il prend 20 flux nntp dans la tête. Vous ferez une expérience sympa si vous êtes chez Numericable, quand le net tombe, scannez votre réseau, vous aurez la petite surprise de découvrir une interface de votre modem non documentée… et faillible.Ce qui m’amène aujourd’hui ce n’est pas vraiment Numéricable… enfin si en fait, vu que les Bouygues Box vendues pour des « BBox fibres » sans port optique et qui n’ont strictement rien à voir avec de la fibre (oui c’est clairement de la pub mensongère, un peu comme si je disais que ma connexion RTC est une connexion fibre puisqu’elle passe par une fibre transatlantique quand je tweete), sont en fait connectées au réseau de Numéricable. Bouygues n’opère donc pas son propre réseau.
L’histoire commence comme d’habitude assez banalement, je cherche sur l’interface de la BBox le moyen de rentrer mes propres DNS pour que tous mes équipements puissent en profiter sans avoir à me taper tous les hosts files de mes machines.Et bien sachez qu’une telle interface n’existe pas sur les BBox, ce qui est tout bonnement inadmissible.
Une interface a cependant attiré mon attention, c’est celle des caractéristiques techniques de la ligne câble. On y découvre une IP LAN en 10.x.x.x. Il s’agit en fait de l’IP de votre BBox sur le LAN de Numéricable.. Elle vient donc en sus de votre IP publique et de l’IP sur votre LAN à vous (celle en 192.168.x.x).
Cette ip est accessible dans les caractéristiques de ligne, sans aucune authentification… ce qui est bien mais franchement pas top monsieur BouyguesBox Fibre Canada Dry. Vous voulez que je vous montre pourquoi ?
Avec mon ordinateur j’essaye de pinguer le voisin
$ ping 10.109.88.18 PING 10.109.88.18 (10.109.88.18): 56 data bytes Request timeout for icmp_seq 0 36 bytes from border1.ge1-4.giglinx-17.sje003.pnap.net (66.151.157.225): Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 3a8d 0 0000 3c 01 d4ff 10.8.2.150 10.109.88.18 Request timeout for icmp_seq 1 Request timeout for icmp_seq 2 Request timeout for icmp_seq 3 Request timeout for icmp_seq 4 Request timeout for icmp_seq 5 --- 10.109.88.18 ping statistics --- 7 packets transmitted, 0 packets received, 100.0% packet loss
… Ça ne passe pas, rien de plus normal, on voit ce que ça donne avec nmap pour dire bonjour au voisin :
$ sudo nmap -sS 10.109.88.17 10.109.88.18 Password: Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-21 00:55 CET Nmap scan report for 10.109.88.17 Host is up (0.033s latency). Not shown: 997 closed ports PORT STATE SERVICE 25/tcp filtered smtp 554/tcp open rtsp 7070/tcp open realserver Nmap scan report for 10.109.88.18 Host is up (0.32s latency). Not shown: 991 closed ports PORT STATE SERVICE 22/tcp filtered ssh 23/tcp filtered telnet 25/tcp filtered smtp 80/tcp filtered http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 554/tcp open rtsp 7070/tcp open realserver
La box du voisin vient de me répondre… et ça, ça commence à être déjà plus surprenant. On va lui demander de se présenter un peu plus en détail.
$ sudo nmap -sS 10.109.88.17 -A 10.109.88.18 Nmap scan report for 10.109.88.18 Host is up (0.13s latency). Not shown: 991 closed ports PORT STATE SERVICE VERSION 22/tcp filtered ssh 23/tcp filtered telnet 25/tcp filtered smtp 80/tcp filtered http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 554/tcp open tcpwrapped 7070/tcp open tcpwrapped Network Distance: 3 hops TRACEROUTE (using port 3306/tcp) HOP RTT ADDRESS - Hop 1 is the same as for 10.109.88.17 2 624.42 ms 10.109.64.1 3 503.04 ms 10.109.88.18
Tiens, le Traceroute nous en apprend une bien bonne, nous avons un invité mystère sur 10.109.64.1… on va donc voir ce qu’il nous raconte
$ sudo nmap -sS 10.109.88.17 -A 10.109.64.1 Nmap scan report for 10.109.64.1 Host is up (0.18s latency). Not shown: 994 closed ports PORT STATE SERVICE VERSION 22/tcp filtered ssh 23/tcp filtered telnet 25/tcp filtered smtp 554/tcp open tcpwrapped 2126/tcp open cops Common Open Policy Service (COPS) 7070/tcp open tcpwrapped No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ). Network Distance: 2 hops Service Info: Host: ORL1CC TRACEROUTE (using port 80/tcp) HOP RTT ADDRESS - Hop 1 is the same as for 10.109.88.17 2 525.31 ms 10.109.64.1
Notre invité mystère est donc monsieur QoS. C’est donc la machine à DDoSSer si vous êtes en LowID sur Emule. Le /24 révèle des choses pas toujours très jolies jolies, il semble que quelques box soient carrément en mode open bar…
Nmap scan report for 10.109.64.243 Host is up (0.037s latency). Not shown: 990 closed ports PORT STATE SERVICE VERSION 22/tcp filtered ssh 23/tcp filtered telnet 25/tcp filtered smtp 80/tcp filtered http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 554/tcp open tcpwrapped 5000/tcp open upnp? 7070/tcp open tcpwrapped
Mais il y a plus inquiétant… A votre avis, il se passe quoi si on dump les paquets pendant une mise à jour de la BBox ? Je n’ai pas tenté le coup pour tout vous avouer. Mais tout ceci ne m’inspire pas franchement confiance, j’ai l’impression d’avoir vu des trucs un peu plus solides que ça niveau réseau d’un FAI.
Billets aléatoirement en relation... ou pas:
- Non, #Mega n’est pas anonymisé !
- De l’engagement
- Syrie / Liban : dis moi avec qui tu t’interconnectes, je te dirai qui tu écoutes
- Social DDoS : merde on a perdu Bachar #OpSyria
- De la polémique Google sur la vie privée
