Grave agujero de seguridad en routers ADSL de Movistar

Nuestro compañero Juju666 nos ha informado de que en algunos foros underground y blogs de seguridad, se está corriendo la voz de que los routers ADSL de Movistar tienen un enorme fallo de seguridad.

Este fallo de seguridad radica en que si el usuario ha activado la administración remota vía web (en WAN, es decir, en el interfaz cara a internet), cualquier persona puede cambiar las contraseñas de administrador y modificar su configuración como quieran…por ejemplo, para crear una gran botnet de routers “zombies”.

A continuación tenéis más información

Para comprobar este fallo, basta con poner nuestro router para que se pueda acceder desde el exterior, irnos a una red externa y poner: ip_publica/password.cgi con lo cual, puedes ver la clave del router y cambiarla. Se dan dos errores, en primer lugar que password.cgi no comprueba que tengamos una sesión con lo cual, nos deja acceder sin autenticarnos y en segundo lugar que si vemos el código fuente de la página aparecen las contraseñas “en claro”.

El listado de routers que se detallan es el siguiente:

Comtrend (CT-5072, CT-5372, CT-5367 y WAP-5813n)
DLINK (DSL-500B y DSL-500B II)
Ovislink
Pikatel (Airmax 101)
TP-LINK (TD-W8920G, TD-W8950ND y TD-W8900G)
ZTE (ZXV10 W300)
Zyxel (P-870HW-51A V2) :

Esta vulnerabilidad no es nueva, pero  pero si lo es la lista de routers afectados por la vulnerabilidad (todos ellos de Telefónica / Movistar y “actuales”).

Ya hemos podido ver algun script que empleando el buscador Shodan busca los routers vulnerables, a si que comprobad vuestros routers y ya de paso, aseguraos que la configuración (DNS, NAT, etc) es la vuestra.

Compártelo. ¡Gracias!

  • Kelvarian

    Comprobado en mi WAP-5813n. Vaya fallo del copon!!!!!

    Y perdón por mi ignorancia, pero ¿como se desactiva para que no se pueda acceder desde el exterior? En ninguna configuracion del Router aparece.

    Salu2.

    • http://www.adslzone.net Adrián Crespo

      No tengo ese router, pero seguramente gracias a los grandes firmwares de Movistar, en muchas ocasiones no pueda desactivarse ya que hay algunas opciones de configuración que aunque el router las dispongo, Movistar las quita de los firmware :S

      • Kelvarian

        Tiene que haber algo. No nos pueden dejar así con el culo al aire.

      • juju666

        Si os ocurre el problema teneis que desactivar la administración Web desde el interfaz WAN, yo hasta ahora no me he encontrado ningun router doméstico en el que no se pueda desactivar.

        • sargento cabral

          hola juju666, tengo 3 clientes con modem TP Link TD8901g, los cuales tiene acceso a recursos compartidos de otros clientes de otras redes, mi pregunta es como configuro estos modem para que no suceda esto. Gracias

  • maki22

    Otra forma mas de poder robarle el wifi al vecino y demas….

    Ahora en serio, no se quien hace los firmwares de movistar pero, nada mas entrar en el codigo de fuente de la pagina aparece la pass!!!! (comtrend 5813-n).

    Como no lo corrijan rapido…

    • David

      Resetea tu equipo a valores de fábrica y deja que el sistema remoto te actualice el firmware a la version P401-402TLF-C02_R35 y lo teleconfigure.

      De esta forma aunque la password sigue saliendo en claro en el HTML la web de cambio de password ya no es accesible sin autenticacion, ni desde la LAN ni nunca lo fue desde la WAN con la configuracion propuesta por Telefonica.

      Un saludo.

      • Jose

        Al poner “grave” en el titular cuando en las condiciones por defecto del equipo NO se produce el fallo… a mí también me parece alarmista.

        • http://www.redeszone.net Sergio De Luz

          Pues la cantidad de direcciones IP filtradas es más que preocupante :)

  • Pingback: Grave agujero de seguridad en routers ADSL de Movistar

  • Mike

    Yo tengo el pirelli a4001n, no se si es vulnerable porque no entiendo como hay que hacer jeje
    Haber si explicais mejor no se

    • juju666

      Tienes que mirar tu ip pública ( en cualesmiip por ejemplo) y luego desde otra ADSL que no sea la tuya poner: http://la_ip_que_viste_en_cualesmiiip/password.cgi

      Si ves algo… mala señal, hay que desactivar la administración del router desde el interfaz WAN.

  • Guille

    Solucion, compraros un router decente de verdad. Yo tengo el de Jazztel en el armario tal y como me llego.

    Me compre un Linksys y oye nada de tonterias de movistar ni jazztel.

  • Pingback: Grave agujero de seguridad en routers ADSL de Movistar | ForoProvincias.Com

  • increible

    Edit. Sergio:

    Hola, debido a que la vulnerabilidad es grave y que la privacidad y seguridad de muchos usuarios, he eliminado las direcciones IP que has puesto, ya que la gente no tiene la culpa de los fallos de los desarrolladores de los firmwares etc.

    Si no hemos publicado un listado de IP para comprobarlo (ni una) es precisamente por esto.

    Un saludo.

  • Jose

    La propia noticia lo dice, si NO tienes activada la administración remota por WEB (que es como vienen por defecto los routers de Movistar) NO pasa nada.

  • David

    Comentar que la noticia es alarmista, realmente para que se cumpla el fallo de seguridad se tienen que dar dos condiciones:

    1) Que el router no tenga la última version disponible de FW; esto se puede solucionar de dos formas:
    - Descargando el agente de la web de movistar.es y actualizando el firmware para posterior mente restaurar el router a los valores por defecto dejando el boton de reset pulsado prolongadamente durante unos 12segundos.
    - Si tienes IMAGENIO reseteando el router a los valores por defecto pinchando prolongadamente el boton reset durante unos 12 segundos y dejar que el sistema remoto actualice el firmware para posteriormente teleconfigurarlo con todos los filtros de seguridad.

    2) Que el usuario no esté usando la configuracion remota propuesta por telefonica tras ejecutar el paso 1.

    En resumen, los todo el portfolio actual de telefonica si dispone del ultimo firmware y la configuracion por defecto no permiten de fabrica la gestion remota del equipo por la wan excepto desde unas IPs concretas de la red de gestion de telefonica.

    Un saludo.

    • No david

      David, la noticia no es alarmista, hay miles de afectados de telefonica, pero es mejor dar un mensaje de aqui no pasa nada, entonces porque de las reclamaciones que tiene telefonica?

      ademas del fallo, estan estafando a la gente, les cambian las DNS para redireccionarlos a web falsas y con troyanos bancarios.

      sera mejor informar al usuario para que no los estafen en vez de hacer comentarios de aqui no pasa, ademas no es cierto que se tiene que producir lo que indicas. Seamos serios.

  • Pepe

    ¡¡Qué miedo!!

  • maikax

    ¿Con qué router puedo sustituir el de teléfonica?

    Gracias y saludos cordiales.

    • http://www.redeszone.net Sergio De Luz

      Cualquiera que tenga módem ADSL.

  • Rafa25

    Hola buenas tardes a todos, Adrian ayer envie un MP a Emilio administrador de la comunidad Movistar y aparte puse esta noticia y esta es la respuesta de Movistar.

    Buenos días a tod@s

    Comentaros que nuestros compañeros de homologación de dispositivos ya están con este tema, habiendo sido reportado a los fabricantes con objeto de subsanar dichas anomalías.

    Os iremos informando de cualquier novedad que sobre este tema se vaya produciendo.

    Un saludo

    http://comunidad.movistar.es/t5/Bienvenida-y-noticias/Grave-agujero-de-seguridad-en-routers-ADSL-de-Movistar/m-p/465259#M12819

  • Pingback: Falla de seguridad en modem/router zte ZXV10 W300 en equipos movistar

  • Pingback: Una grave vulnerabilidad que afecta a varios modelos de routers Movistar permite acceder a su panel de control

  • francis

    perdonad mi ignorancia tengo un zyzel p-660
    pero todavia no me entero por donde entran,o que es lo que hacen para averiguar la contraseña pido por favor un alma caritativa para explicar como para asi intentar sufragarlo…
    un saludo y ghracias por la info

  • Pingback: Ip_publica/password.cgi | Taringa!

  • Pingback: Los routers ADSL se convierten en nuevo objetivo de los hackers |

  • Pingback: Falla de seguridad en routers con Firmware de Movistar (en este caso ZTE ZXDSL 831ii y Comtrend CT-5367) – Cambio de DNS « IT Leaders Perú

RedesZone © 2010 - 2014