old-school,

El TM+MM

Jose Ramon Palanco Jose Ramon Palanco Follow Apr 02, 2003 · 5 mins read
El TM+MM
Share this

Antes de empezar el artículo en sí creo que debo advertir que la información aquí contenida es solamente para fines meramente informativos, y que lo que cualquier usuario haga mas allá de esto depende de el y no me responsabilizo, aclarado éste detalle ahí va el articulo:

El TM+MM es el nuevo tipo de cabinas que está fabricando Siemens para Telefónica, con mas funcionalidades que las cabinas “de toda la vida” como acceso a internet a través de adsl, envío de mensajes cortos a móviles y posibilidad de hacer fotos digitales, como creo nosotros no somos de ese tipo de gente que se conforma solo con saber para lo que algo está fabricado pasamos a hacer algunas pruebas con las cabinas que ya están funcionando en Zaragoza(Desconozco si están en otros lugares también)

El TM+MM El TM+MM

En primer lugar voy a dar una descripción física de lo que hasta ahora se ha ido instalando(siempre en lugares cerrados y bien vigilados). Se ha sustituido el frontal de la cabian por uno mas amplio que contiene lo siguiente:

  • Una pantalla TFT de Samsung en color retroiluminada de 11 pulgadas. Resolución de 800x600
  • Un teclado alfabético de 50 teclas tipo QWERTY de acero, ligeramente inclinado.
  • Un trackball con dos botones, aunque el botón secundario ha sido desactivado
  • Altavoces
  • Una webcam
  • Un teclado numérico convencional
  • Una caja debajo de la cabina con el router adsl y su fuente de alimentación, se supone que un futuro ésta caja estará situada en el techo de las cabinas.

Y pasando al hardware del ordenador que lleva dentro no encontramos con:

  • Una placa SBC industrial.
  • Un microprocesador Pentium a 166 mhz
  • Dos puertos USB(uno de ellos ocupado pro al webcam)
  • Dos puertos serie(uno de ellos se comunica con la placa controladora del sistema de voz)
  • Una tarjeta ethernet
  • 128 megabytes de RAM
  • Disco duro de 10 gigabytes
  • La placa que controla el sistema de voz de la cabina, que es la placa de siempre.

Esquema de conexión Esquema de conexión

En cuanto a software:

  • Una distribución de Linux RedHat, probablemente una 7.2
  • Kernel 2.4.18
  • FVWM con alogin(inicia automáticamente con un usuario las X)
  • XFree86 4.2.0
  • Navegador basado en Escape que permite la navegación, el envío de correo, y envío de mensajes cortos a los teléfonos móviles, aparte de eso almacena (se supone para fines estadísticos) de todo lo que hace el usuario(urls visitadas, banners en los que se ha hecho clic…)

Sistema de navegación Sistema de navegación

  • Blackdown’s JDK1.1.8
  • Sistema de videoconferencia basado en GnomeMeeting
  • Aplicación para controlar la comunicación entre placas
  • Un sistema de auto actualización de software mediante el cual se conecta vía https a un servidor para bajar los paquetes que debe actualizar
  • Un servidor de ssh OpenSSH versión 3.1p1
  • Squid 2.4

En lo que se refiere a la seguridad de la cabina de momento no hemos conseguido nada, solo tiene abiertos hacia el exterior los puertos 22(el servidor de ssh parchado) y el puerto 80(supuestamente por el puerto que se actualiza), el resto de puestos están cerrados. Solamente se puede salir de la aplicación principal abriendo la puerta de la cabina, o con la tarjeta de técnico de Telefónica(cosas que nos son imposibles, aprovecho para recordar que todas las cabinas de éste tipo están en recintos cerrados y vigilados), el lilo corre bajo chroot y evita que se pueda arrancar en modo monousuario o introducir cualquier tipo de comando. Lo que aun no hemos probado es intentar explotar algún bug del navegador, que no permite bajar ficheros, animaciones de flash, también desconocemos si con algún tipo de explorador bajo Java (que si que interpreta) podría hacer algo. La memoria técnica de la cabina dice:

Para evitar ataques externos de tipo hacker, se emplea la funcionalidad de filtrado de paquetes por Kernel, la cual rechaza los paquetes fragmentados.

Que aun no sabemos muy bien a que narices se refiere pero bueno 😈

Si se le hace un escaneo con Nessus encuentra dos vulnerabilidades graves en el servidor de ssh pero ninguna funciona con su debido exploit, pero aun así, éstas son las dos vulnerabilidades graves que encuentra:

El host esta corriendo una version de OpenSSH anterior a la 3.2.1

Existe un buffer overflow en éste demonio si esta habilitado el AFS en su sistema, o si las opciones de KerberosTgtPassing o AFSTokenPassing están habilitadas. Dependiendo del escenario la vulnerabilidad puede ser evitada habilitando UsePrivilegeSeparation. Las versiones anteriores a la 2.9.9 son vulnerables a un exploit para root remoto. Las versiones anteriores a la 3.2.1 son vulnerables a un exploit para root local.

Solución: Actualizar la versión de OpenSSH

  • Riesgo: Alto
  • CVE : CAN-2002-0575
  • BID : 4560
  • Nessus ID : 10954

El host esta corriendo una version de OpenSSH anterior a la 3.4

Hay un fallo en esta versión que puede ser explotado remotamente para dar al atacante una shell en el host.

Solución: Actualizar OpenSSH a la versión 3.4

  • Riesgo: Alto
  • CVE : CAN-2002-0639, CAN-2002-0640
  • BID : 5093
  • Nessus ID : 11031

Creo conveniente aclarar que el control de las llamadas por voz lo sigue haciendo la cabina por hardware, que solo se comunica con el ordenador para transmitirles los mensajes para el usuario, por lo que no creo que fuese posible efectuar llamadas telefónicas gratis aunque se tomase el control de la cabina, aunque creo que se sería posible enviar sms y navegar por internet de manera gratuita.

Ips de algunas de las cabinas:

  • 80.37.142.174

Urls de interés:

Jose Ramon Palanco
Written by Jose Ramon Palanco Follow
Jose Ramón Palanco founded Dinoflux at 2014, a Threat Intelligence startup acquired by Telefonica, currently he works for 11paths since 2018. He worked also for Ericsson at R&D department and Optenet (Allot). He studied Telecommunications Engineering at the University of Alcala de Henares and Master of IT Governance at the University of Deusto. He has been a speaker at OWASP, ROOTEDCON, ROOTCON, MALCON, and FAQin... He has published several CVE and different open source tools for cybersecurity like nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS, ...