Grave agujero de seguridad en routers ADSL de Movistar

Escrito por Sergio De Luz
Routers

Nuestro compañero Juju666 nos ha informado de que en algunos foros underground y blogs de seguridad, se está corriendo la voz de que los routers ADSL de Movistar tienen un enorme fallo de seguridad.

Este fallo de seguridad radica en que si el usuario ha activado la administración remota vía web (en WAN, es decir, en el interfaz cara a internet), cualquier persona puede cambiar las contraseñas de administrador y modificar su configuración como quieran…por ejemplo, para crear una gran botnet de routers “zombies”.

A continuación tenéis más información

Para comprobar este fallo, basta con poner nuestro router para que se pueda acceder desde el exterior, irnos a una red externa y poner: ip_publica/password.cgi con lo cual, puedes ver la clave del router y cambiarla. Se dan dos errores, en primer lugar que password.cgi no comprueba que tengamos una sesión con lo cual, nos deja acceder sin autenticarnos y en segundo lugar que si vemos el código fuente de la página aparecen las contraseñas “en claro”.

El listado de routers que se detallan es el siguiente:

Comtrend (CT-5072, CT-5372, CT-5367 y WAP-5813n)
DLINK (DSL-500B y DSL-500B II)
Ovislink
Pikatel (Airmax 101)
TP-LINK (TD-W8920G, TD-W8950ND y TD-W8900G)
ZTE (ZXV10 W300)
Zyxel (P-870HW-51A V2) :

Esta vulnerabilidad no es nueva, pero  pero si lo es la lista de routers afectados por la vulnerabilidad (todos ellos de Telefónica / Movistar y “actuales”).

Ya hemos podido ver algun script que empleando el buscador Shodan busca los routers vulnerables, a si que comprobad vuestros routers y ya de paso, aseguraos que la configuración (DNS, NAT, etc) es la vuestra.

Compártelo. ¡Gracias!

Comentarios


21 comentarios
  1. Kelvarian 09 feb, 12 21:47

    Comprobado en mi WAP-5813n. Vaya fallo del copon!!!!!

    Y perdón por mi ignorancia, pero ¿como se desactiva para que no se pueda acceder desde el exterior? En ninguna configuracion del Router aparece.

    Salu2.

    Responder
    0
    1. Adrián Crespo 09 feb, 12 21:49

      No tengo ese router, pero seguramente gracias a los grandes firmwares de Movistar, en muchas ocasiones no pueda desactivarse ya que hay algunas opciones de configuración que aunque el router las dispongo, Movistar las quita de los firmware :S

      Responder
      0
      1. Kelvarian 09 feb, 12 21:58

        Tiene que haber algo. No nos pueden dejar así con el culo al aire.

        Responder
        0
      2. juju666 10 feb, 12 8:59

        Si os ocurre el problema teneis que desactivar la administración Web desde el interfaz WAN, yo hasta ahora no me he encontrado ningun router doméstico en el que no se pueda desactivar.

        Responder
        0
        1. sargento cabral 25 oct, 12 20:38

          hola juju666, tengo 3 clientes con modem TP Link TD8901g, los cuales tiene acceso a recursos compartidos de otros clientes de otras redes, mi pregunta es como configuro estos modem para que no suceda esto. Gracias

          Responder
          0
  2. maki22 09 feb, 12 23:01

    Otra forma mas de poder robarle el wifi al vecino y demas….

    Ahora en serio, no se quien hace los firmwares de movistar pero, nada mas entrar en el codigo de fuente de la pagina aparece la pass!!!! (comtrend 5813-n).

    Como no lo corrijan rapido…

    Responder
    0
    1. David 10 feb, 12 10:16

      Resetea tu equipo a valores de fábrica y deja que el sistema remoto te actualice el firmware a la version P401-402TLF-C02_R35 y lo teleconfigure.

      De esta forma aunque la password sigue saliendo en claro en el HTML la web de cambio de password ya no es accesible sin autenticacion, ni desde la LAN ni nunca lo fue desde la WAN con la configuracion propuesta por Telefonica.

      Un saludo.

      Responder
      0
      1. Jose 10 feb, 12 17:06

        Al poner “grave” en el titular cuando en las condiciones por defecto del equipo NO se produce el fallo… a mí también me parece alarmista.

        Responder
        0
        1. Sergio De Luz 10 feb, 12 17:22

          Pues la cantidad de direcciones IP filtradas es más que preocupante :)

          Responder
          0
  3. Mike 10 feb, 12 0:13

    Yo tengo el pirelli a4001n, no se si es vulnerable porque no entiendo como hay que hacer jeje
    Haber si explicais mejor no se

    Responder
    0
    1. juju666 10 feb, 12 8:56

      Tienes que mirar tu ip pública ( en cualesmiip por ejemplo) y luego desde otra ADSL que no sea la tuya poner: http://la_ip_que_viste_en_cualesmiiip/password.cgi

      Si ves algo… mala señal, hay que desactivar la administración del router desde el interfaz WAN.

      Responder
      0
  4. Guille 10 feb, 12 1:54

    Solucion, compraros un router decente de verdad. Yo tengo el de Jazztel en el armario tal y como me llego.

    Me compre un Linksys y oye nada de tonterias de movistar ni jazztel.

    Responder
    0
  5. increible 10 feb, 12 9:41

    Edit. Sergio:

    Hola, debido a que la vulnerabilidad es grave y que la privacidad y seguridad de muchos usuarios, he eliminado las direcciones IP que has puesto, ya que la gente no tiene la culpa de los fallos de los desarrolladores de los firmwares etc.

    Si no hemos publicado un listado de IP para comprobarlo (ni una) es precisamente por esto.

    Un saludo.

    Responder
    0
  6. Jose 10 feb, 12 9:50

    La propia noticia lo dice, si NO tienes activada la administración remota por WEB (que es como vienen por defecto los routers de Movistar) NO pasa nada.

    Responder
    0
  7. David 10 feb, 12 10:07

    Comentar que la noticia es alarmista, realmente para que se cumpla el fallo de seguridad se tienen que dar dos condiciones:

    1) Que el router no tenga la última version disponible de FW; esto se puede solucionar de dos formas:
    – Descargando el agente de la web de movistar.es y actualizando el firmware para posterior mente restaurar el router a los valores por defecto dejando el boton de reset pulsado prolongadamente durante unos 12segundos.
    – Si tienes IMAGENIO reseteando el router a los valores por defecto pinchando prolongadamente el boton reset durante unos 12 segundos y dejar que el sistema remoto actualice el firmware para posteriormente teleconfigurarlo con todos los filtros de seguridad.

    2) Que el usuario no esté usando la configuracion remota propuesta por telefonica tras ejecutar el paso 1.

    En resumen, los todo el portfolio actual de telefonica si dispone del ultimo firmware y la configuracion por defecto no permiten de fabrica la gestion remota del equipo por la wan excepto desde unas IPs concretas de la red de gestion de telefonica.

    Un saludo.

    Responder
    0
    1. No david 10 feb, 12 15:06

      David, la noticia no es alarmista, hay miles de afectados de telefonica, pero es mejor dar un mensaje de aqui no pasa nada, entonces porque de las reclamaciones que tiene telefonica?

      ademas del fallo, estan estafando a la gente, les cambian las DNS para redireccionarlos a web falsas y con troyanos bancarios.

      sera mejor informar al usuario para que no los estafen en vez de hacer comentarios de aqui no pasa, ademas no es cierto que se tiene que producir lo que indicas. Seamos serios.

      Responder
      0
  8. Pepe 10 feb, 12 10:53

    ¡¡Qué miedo!!

    Responder
    0
  9. maikax 10 feb, 12 13:53

    ¿Con qué router puedo sustituir el de teléfonica?

    Gracias y saludos cordiales.

    Responder
    0
    1. Sergio De Luz 10 feb, 12 14:21

      Cualquiera que tenga módem ADSL.

      Responder
      0
  10. Rafa25 10 feb, 12 14:05

    Hola buenas tardes a todos, Adrian ayer envie un MP a Emilio administrador de la comunidad Movistar y aparte puse esta noticia y esta es la respuesta de Movistar.

    Buenos días a tod@s

    Comentaros que nuestros compañeros de homologación de dispositivos ya están con este tema, habiendo sido reportado a los fabricantes con objeto de subsanar dichas anomalías.

    Os iremos informando de cualquier novedad que sobre este tema se vaya produciendo.

    Un saludo

    http://comunidad.movistar.es/t5/Bienvenida-y-noticias/Grave-agujero-de-seguridad-en-routers-ADSL-de-Movistar/m-p/465259#M12819

    Responder
    0
  11. francis 28 jul, 12 13:55

    perdonad mi ignorancia tengo un zyzel p-660
    pero todavia no me entero por donde entran,o que es lo que hacen para averiguar la contraseña pido por favor un alma caritativa para explicar como para asi intentar sufragarlo…
    un saludo y ghracias por la info

    Responder
    0