BBox Fibre by Numéricable… smells like p0wn4ge

Il y a quelques temps de cela, je vous avais raconté la belle histoire de Sam Synack et de la compromission totale de plusieurs millions de Neufbox. Certes, celle que je vais vous raconter aujourd’hui est moins spectaculaire, mais gageons que ce n’est que par manque de temps. Quand j’ai aménagé dans mon dernier appartement que j’ai voulu et choisi dans un périmètre de moins de 100m du NRA le plus proche, j’ai eu la mauvaise surprise de découvrir que ma ligne était raccordée sur un autre NRA, beaucoup plus loin et que ma dite ligne accusait une atténuation théorique de 82db. La bête, pas folle, avait choisi un immeuble câblé… enfin câblé. Avec des prises pas aux normes, problème que Numericable n’a jamais su détecter et que le technicien Bouygues a finalement refait de A à Z, surpris qu’il était que j’arrive à pinguer le premier routeur avec ce modem Castlenet backdooré et dont le wifi se couche dés qu’il prend 20 flux nntp dans la tête. Vous ferez une expérience sympa si vous êtes chez Numericable, quand le net tombe, scannez votre réseau, vous aurez la petite surprise de découvrir une interface de votre modem non documentée… et faillible.
Ce qui m’amène aujourd’hui ce n’est pas vraiment Numéricable… enfin si en fait, vu que les Bouygues Box vendues pour des « BBox fibres » sans port optique et qui n’ont strictement rien à voir avec de la fibre (oui c’est clairement de la pub mensongère, un peu comme si je disais que ma connexion RTC est une connexion fibre puisqu’elle passe par une fibre transatlantique quand je tweete),  sont en fait connectées au réseau de Numéricable. Bouygues n’opère donc pas son propre réseau.
L’histoire commence comme d’habitude assez banalement, je cherche sur l’interface de la BBox le moyen de rentrer mes propres DNS pour que tous mes équipements puissent en profiter sans avoir à me taper tous les hosts files de mes machines.Et bien sachez qu’une telle interface n’existe pas sur les BBox, ce qui est tout bonnement inadmissible.
Une interface a cependant attiré mon attention, c’est celle des caractéristiques techniques de la ligne câble. On y découvre une IP LAN en 10.x.x.x. Il s’agit en fait de l’IP de votre BBox sur le LAN de Numéricable.. Elle vient donc en sus de votre IP publique et de l’IP sur votre LAN à vous (celle en 192.168.x.x).
Cette ip est accessible dans les caractéristiques de ligne, sans aucune authentification… ce qui est bien mais franchement pas top monsieur BouyguesBox Fibre Canada Dry. Vous voulez que je vous montre pourquoi ?
Avec mon ordinateur j’essaye de pinguer le voisin
$ ping 10.109.88.18
PING 10.109.88.18 (10.109.88.18): 56 data bytes
Request timeout for icmp_seq 0
36 bytes from border1.ge1-4.giglinx-17.sje003.pnap.net (66.151.157.225):
Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
 4 5 00 5400 3a8d 0 0000 3c 01 d4ff 10.8.2.150 10.109.88.18
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
--- 10.109.88.18 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss
… Ça ne passe pas, rien de plus normal, on voit ce que ça donne avec nmap pour dire bonjour au voisin :
$ sudo nmap -sS 10.109.88.17 10.109.88.18
Password:

Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-21 00:55 CET
Nmap scan report for 10.109.88.17
Host is up (0.033s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
554/tcp open rtsp
7070/tcp open realserver

Nmap scan report for 10.109.88.18
Host is up (0.32s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open rtsp
7070/tcp open realserver
La box du voisin vient de me répondre… et ça, ça commence à être déjà plus surprenant. On va lui demander de se présenter un peu plus en détail.
$ sudo nmap -sS 10.109.88.17 -A 10.109.88.18

Nmap scan report for 10.109.88.18
Host is up (0.13s latency).
Not shown: 991 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
7070/tcp open tcpwrapped

Network Distance: 3 hops

TRACEROUTE (using port 3306/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 624.42 ms 10.109.64.1
3 503.04 ms 10.109.88.18
Tiens, le Traceroute nous en apprend une bien bonne, nous avons un invité mystère sur 10.109.64.1… on va donc voir ce qu’il nous raconte
$ sudo nmap -sS 10.109.88.17 -A 10.109.64.1

Nmap scan report for 10.109.64.1
Host is up (0.18s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
554/tcp open tcpwrapped
2126/tcp open cops Common Open Policy Service (COPS)
7070/tcp open tcpwrapped
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

Network Distance: 2 hops
Service Info: Host: ORL1CC

TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 525.31 ms 10.109.64.1
Notre invité mystère est donc monsieur QoS. C’est donc la machine à DDoSSer si vous êtes en LowID sur Emule. Le /24 révèle des choses pas toujours très jolies jolies, il semble que quelques box soient carrément en mode open bar…
Nmap scan report for 10.109.64.243
Host is up (0.037s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
5000/tcp open upnp?
7070/tcp open tcpwrapped
Mais il y a plus inquiétant… A votre avis, il se passe quoi si on dump les paquets pendant une mise à jour de la BBox ? Je n’ai pas tenté le coup pour tout vous avouer. Mais tout ceci ne m’inspire pas franchement confiance, j’ai l’impression d’avoir vu des trucs un peu plus solides que ça niveau réseau d’un FAI.

19 réponses sur “BBox Fibre by Numéricable… smells like p0wn4ge”

    1. Peut etre l’IP pour FreeWifi, j’ai remarqué il n’y a pas très longtemps que FreeWifi attribuait une IP privée (en 10.x.y.z/13), ce qui n’etait pas le cas au début.

  1. Oulalala Mr Bluetouff, j’espere que vous avez l’accord de votre voisin pour un nmap 😉

    Les FAI c’est tjrs la merde. Et même quant on passe sur des FAIs « moins fachos » (ovh et cie) on peut se retrouver sur une collecte Orange…

      1. Dans le cas présent, je dirais que tu testes la poignée de chaque porte, pour voir si c’est ouvert 😉
        C’est toujours comme ça que j’ai vu ce genre de scan nmap, peut-être que je me trompe, mais ça ne m’a pas l’air si simple.

  2. Et encore, tu sais que pour le câble chez Numéricable, ils broadcastent tout sur le même câble, c’est le modem qui fait le tri de ce qui est pour lui et le reste.

    Branche donc une carte tuner TV sur le câble, lance un petit programme de dump (comme packet-o-matic) et surprise, tu récupéres tout ce que reçoit les autres abonnés sur le même câble. Si c’est pas magnfifique ça.

    Pour ceux qui cherchent un tuto, il y en a un bon ici : http://lafibre.info/numericable/packet-o-matic/

    1. Je ne pense pas, le CGN suppose que le client final a une adresse IP privée, comme c’est le cas pour le 3G, mais avec la BBox Fibre, le client final a bien une adresse IP publique et a donc accès à tous les ports.

      Des adresses IP privées ne sont utilisées que pour leur réseau interne, entre les routeurs.

  3. Oui autant pour moi, j’ai raté la partie (pourtant bien visible) :-)ou il est dit que « cette @ip vient en sus de l’Ip public de la Box » …..
    Merci pour la correction, => je suis parti me flagellé!!!

  4. J’ai moi aussi tenté l’expérience avec un autre abonné Numericable, on arriverai à se pinguer via le réseau 10.x.x.x, mais à rien faire d’autre au niveau service.

    Tu as aussi le même problème sur les freebox en mode modem, partage SMB à travers internet… avec parfois les identifiants free dans un dossier partagé. Bref, du lourd.

    1. C’est valable avec les Freebox v6 ce problème ?
      (personnellement je n’en ait pas, mais une connaissance va avoir la fibre et on en profitera pour monter un serveur)

  5. Salut,
    Je ne sait pas si c’est encore possible mais avec une tv qui contient un tuner dvb-c on peut recevoir les films vod de ses voisins en se calant sur les frequences VOD (souvent entre 150 et 200 Mhz.
    Je croie que ce n’est plus possible mais avant on pouvait, grace à un logiciel qui s’appelle Docsis diag et à l’adresse 10.xxx.xxx.xxx, accéder aux infos techniques du modem.

  6. Etant un peu novice dans le domaine  »BOX’, j’aimerais savoir si numéricable est intéressant… Je suis domicilié sur Toulouse… Est-ce que ça passe bien et il n’y a pas trop de problèmes concernant la réception… Merci pour votre réponse…

  7. Salut Bluetouff,
    Le point qui me fait sursauter, c’est le coup du LAN intermédiaire de numéricable. Donc grossomodo tu n’as pas ta propre IP publique, tu es derrière une grosse couche de NAT côté opérateur. Donc pas cool quand tu veux héberger ton serveur. Ou alors peut-être que je n’ai pas compris.
    C’est un point crucial pour moi, je ne veux pas du CGN car j’ai un serveur qui tourne.

  8. Intéressant tout ça.

    Je viens de recevoir ma bbox « fibre », il y a des choses intéressantes sur des ports exotiques. Dont ça : 51022/tcp open ssh Dropbear sshd 0.52 (protocol 2.0).
    Je me demande si le mot de passe est en dur pour tout le monde ou s’il s’agit d’un dérivé du S/N, @MAC ou autre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.