home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / CALLERID / BINTEC.TXT < prev    next >
Encoding:
Text File  |  2000-03-10  |  2.5 KB  |  59 lines
  1.  
  2. [ http://www.rootshell.com/ ]
  3.  
  4. Date: Wed, 10 Feb 1999 22:10:57 +0100
  5. From: Pascal Gienger <p@ZNET.DE>
  6. Subject: Security Bug in Bintec Router Firmware (CLID)
  7.  
  8. Vulnerability in Bintec Firmware BOSS V4.9 Release 1 and earlier
  9.  
  10. Abstract:
  11. Non-interpretation of "international" or "national" incoming call setup
  12. leads to a security problem when you accept connections based on their
  13. incoming call number.
  14.  
  15. Bintec is a manufacturer of routers whose market share is growing steadily.
  16. So the following information should be of general interest.
  17. Bintec Routers are shipped with the BOSS Operating system, current release
  18. is V4.9, Rel.3.
  19.  
  20. Bricks do support besides PPP links also raw IP encapsulation over HDLC
  21. frames (ISDN Line).
  22. In the latter case, WAN partner are distinguished based upon their incoming
  23. call number (CLID), so you must "trust" your telephone company for issuing
  24. the right information. People may set their own "outgoing" number, but only
  25. the ones marked as "screened" by the telco are looked at.
  26.  
  27. In Germany, you have to dial an "0" to exit your local area, and "00" to
  28. access international calls. These zeros, however, do not belong to the
  29. real telephone number, they are not passed along with the ISDN call request.
  30. So a call from +41 1 1234567 (0041 1 1234567) is passed as "4111234567".
  31. A call from 0411 1234567 (national call from city zone "4111") is
  32. also passed as "4111234567". You have to set this "4111234567" as an
  33. incoming number in the brick setup because otherwise the Brick would
  34. not recognize the call.
  35. The only difference is a flag which says whether the call is an international
  36. one or not.
  37.  
  38. BOSS does not distinguish these two, leaving this security hole open. If you
  39. know the number of a WAN partner abroad which number has less than 9
  40. digits, you can search the local zone in Germany and trying to get there
  41. the appropriate number to access the router. Might be complicated, but if
  42. you know that there is sensitive stuff to get...
  43.  
  44. A possible fix would be to always insist on a form like "49411123456789" for
  45. the national german call (with leading international prefix).
  46.  
  47. I wrote a notice to Bintec 24h ago, but I got no response until now.
  48. I'll tell their answer as soon as I'll get it.
  49.  
  50. I would not be surprised to hear that other router firmwares are acting in
  51. the same way...
  52.  
  53. Pascal
  54. --
  55. Unix,   Pascal Gienger, Moosstr. 7 /\ 7 .rtssooM ,regneiG lacsaP    xinU
  56. Networx 78467 Konstanz, p@znet.de /  \ ed.tenz@p ,znatsnoK 76487 xrowteN
  57. & WWW       http://pascal.znet.de/    \ed.tenz.lacsap\\:ptth       WWW &
  58.         http://echo.znet.de:8888/ echo \8888:ed.tenz.ohce\\:ptth
  59.