Zyxel P-870HW-51A V2 : Problema de seguridad. Acceso oculto con user/user

Escrito por Adrián Crespo
Routers

En los foros de ADSLZone, un usuario ha detectado un problema de seguridad que afecta a los usuarios que poseen el Zyxel que suministra Movistar a sus clientes de VDSL, en concreto, el modelo P-870HW.

Parece ser que el router, además de tener el usuario por defecto 1234 que todo el mundo conocemos, además tiene otro usuario de acceso creado que tiene como login y contraseña user .

La infomación ya ha sido remitida a Movistar por algunos usuarios que se han visto afectados y parece ser que están trabajando en encontrar una posible solución, es decir, tratar de sacar un nuevo firmware que corrija este y otros muchos errores que posee el actual firmware de este router VDSL.

Actualmente el firmware que causa este tipo de problemas es el 1.00(BKA.0)b25.

Podemos comprobar que poniendo en la venta de login a través del navegador mediante la puerta de enlace podemos acceder con este usuario oculto.

Como podéis observar el login se realiza de forma correcta y se accede al router con total normalidad, lo que puede suponer un problema grave de seguridad para los usuarios que posean dicho equipo.

A esto vamos a añadirle un contratiempo y es que si queremos cambiar la contraseña del router vía configurador web nos encontramos con la siguiente sorpresa:

La opción de cambiar la contraseña no es la del usuario user, sino la de 1234.

Solución: Cambiar la contraseña vía Telnet

Antes de que suministren un firmware que corrija este problema la mejor solución es modificar la contraseña del usuario pero por una sesión de Telnet

1.- Accedemos a Telnet(ponemos la puerta de enlace que nosotros tengamos)

2.-Ingresamos con el usuario “user”

login: user

password: user

3.-Ejecutamos la instrucción

PASSWD USER

Y a continuación tecleamos la nueva contraseña que queramos asignar.

4.Tecleamos

Exit

Y ya estaría cambiada la contraseña del usuario oculto. No esta eliminado el usuario pero por lo menos ya no tiene la contraseña que venía por defecto.

Agradecer al usuario rafaelgc de ADSLZone.net el manual.


Continúa leyendo
  • manfred

    Para quien tenga Windows 7 o Vista Telnet no viene activado por defecto. Para activarlo:

    http://technet.microsoft.com/en-us/library/cc771275%28WS.10%29.aspx#bkmk_installVista

  • jabitok

    que interesante con un simple telnet, yo pensaba que estaria capado

  • Lando

    Alguien sabe como desbloquear este router y poder meterle los firmware originales de zyxel

    • desbloqueado ya se encuentra, no hay ningún impedimento para que instales el firm de Zyxel, pero tendrás que sudar la gota gorda para hacer funcionar la conexión a internet. Y si encima tienes Imagenio despídete de la IPTV, porque con los parámetros de configuración que trae los firm de Zyxel no podrás hacerla funcionar

  • Lando

    Perdona pero no es asi, probe a meterle el ultimo firmware de la pagina oficial de zyxel y el router no vuelve a arrancar, solo encendia la luz del power, la lan y al rato se reiniciaba, en un blucle continuo.

    Asi que algo debe tener para evitar meterle firmware oficiales.

  • Pingback: Continúan los fallos de seguridad en el Zyxel P-870HW : Redes Zone : Portal sobre telecomunicaciones y redes()

  • Anónimo

    El manual es muy bueno para solucionar el problema, pero…
    antes del comando exit
    hay que ejecutar el comando save
    porque de lo contrario cuando se reinicia el router vuelve a
    estar como estaba.

  • aef

    El manual es muy útil y se agradece mucho, pero…
    antes del comando exit
    hay que ejecutar el comando save
    porque de lo contrario cuando se reinicie el router
    vuelve a estar como estaba.

  • andres

    hola a mi no me deja sigo los pasos pero me da error escribo hasta que me dice k escriba el nuevo pass y escribo;

    contraseña exit ; contraseña save exit; contraseña save, y de ninguna forma me deja haber si lo ago mal , me podeis ayudar , gracias de antemano..

    • prueba incluyendo en la nueva contraseña mayúsculas y minúsculas a la vez y acompañadas de números

      • andres

        nada de nada tio lo curisoso es k me da error y al intentar entrar para comrpobar si lo a cambio la de user no sirve y la nueva tmpcoc y tengo k reinicar el router

  • Xavi

    Buenas, y gracias por este gran post. No me di cuenta de este problema del router hasta hoy. Y llevo un año.

    Lo curioso que me pasa a mi a la hora de cambiar el pass, es que entro por telnet, escribo el Login; User y a continuación, en Password, no me deja volver a escribir.

    Sabe alguien porque motivo me pasa esto?

    Gracias de antemano.

  • iPep

    Pues aun no han corregido nada, llevo dos semanas con este router, me lo pusieron para tener 20Mg., con Imagenio, antes tenia 10Mg. y encontré esta pagina, lo que no imaginaba, es que podría ver las características del router en mi ordenador por WiFi, siempre supuse que Movistar los tendría capados.

    Sabéis, si se puede actualizar el firmware y no cargarme nada, que me funcione Imagenio y la conexión WiFi.

    Un saludo

  • Anonymous

    El comando que tienen que meter no es así,si lo ponen como dice se entra sin meter password
    Hay que poner esto…
    passwd user (nuevo password)

    Saludos 🙂

  • Anonymous

    Ejemplo: passwd user mequetrefe

    xD