Un gran número de routers de Telefónica utilizan claves SSH repetidas

Escrito por Rubén Velasco
Seguridad
3

En el momento en que nos conectamos a la red una gran cantidad de información sobre nuestros dispositivos es monitorizada y analizada por diferentes plataformas. En condiciones normales esto no supone ningún problema ya que las medidas de seguridad deberían ser personalizadas y únicas, sin embargo, hace algunas horas se ha podido conocer un hecho que compromete a millones de usuarios de Internet, especialmente a aquellos que operan a través de Telefónica.

Desde Shodan Blog han lanzado una técnica llamada SSH Revamp que permite conocer todos los detalles de un servidor SSH simplemente lanzando un intento de conexión, han podido detectar un fallo de seguridad muy importante: un gran número de claves SSH se repite masivamente por Internet. Analizando las huellas y realizando una búsqueda masiva a través de la plataforma Shodan, se ha podido comprobar que la mayor parte de los routers que utilizan estas claves pertenecen a Telefónica.

A la hora de configurar por defecto los routers, Telefónica ha reutilizado la misma imagen para un gran número de estos (en cada tirada más de 200.000) con el fin de, entre otras cosas, ahorrar tiempo y trabajo evitando tener que compilar imágenes diferentes para cada router individual que se iba a configurar. Por esto, la compañía ha distribuido entre sus clientes un gran número de routers que utilizan así las mismas claves SSH para la administración y el control remotos.

Telefónica no es la única compañía que reutiliza las claves SSH en sus routers. Analizando otras claves muy repetidas a través de la misma plataforma se ha podido ver cómo otros routers de diferentes compañías también llevan a cabo esta medida “para ahorrar costes” que compromete seriamente la seguridad y privacidad de los usuarios, quedando estos expuestos a que terceras personas puedan conectarse a través de SSH de forma remota a su routers con los credenciales por defecto.

Podemos ver una lista con las claves SSH más utilizadas en los siguientes repositorios de GitHub:

Telefonica_claves_ssh_repetidas_foto

¿Qué podemos hacer para protegernos de ataques SSH contra los routers de Telefónica?

Generalmente las opciones están muy limitadas ya que los routers de las compañías están limitados en funciones y en la mayoría de los casos no se pueden modificar ciertos aspectos, especialmente el servidor SSH que es el que utilizan las compañías para conectarse de forma remota al router cuando llamamos al SAT.

En el caso de que nuestro router permita configurar el apartado del servidor SSH lo más recomendable es desactivarlo o, si hacemos uso de él, cambiar la configuración por defecto (usuario, contraseña, etc) para evitar que terceras personas no autorizadas puedan conectarse de forma remota a nuestra red. Igualmente es recomendable proteger todos los demás servidores que podamos tener en nuestra red local para evitar que se pueda pasar desde el SSH del router a nuestro PC y esperar a que Telefónica lance una actualización masiva del firmware en el que se modifique este fallo de seguridad y se pueda generar una clave aleatoria, por ejemplo, utilizando la MAC del dispositivo, siendo así todas ellas diferentes.

Igualmente también es recomendable cambiar el router que tenemos en nuestra casa por otro independiente de la compañía que, aparte de ofrecer un mejor rendimiento y mayor personalización, también brinda una mejor seguridad en todos los aspectos, por ejemplo, en el servidor SSH.

¿Eres usuario de Movistar? ¿Tu router permite configurar el servidor SSH o está comprometido?

Fuente: Enrique de la Hoz


Continúa leyendo
  • luis

    Hablamos de routers residenciales, los de servicio usan tac acs

  • Pingback: ¿Por qué deberías cambiar el router de tu casa?()

  • Pingback: ¿Deberías Cambiar el router de Casa? | Pantallazo.com()

  • jruño

    el mio tiene una parte que pone access management en la que cambias la contraseña de administrador y demas y tiene una parte tambien en la que pone una lista de servicios en plan ftp, telnet, ssh y unos cuantos mas y al lado de cada uno dos casillas, una que pone lan y otra que pone wan

    el ssh solo tiene activado la que pone lan pero no esta activada la que pone wan, ¿se refiere a eso que esta chapado el ssh para el lado de internet no? porque no he encontrao otra referencia a ssh en toda la configuracion

  • anononimo

    Que ganas de noticias sensacionalistas.

    La reutilización de las claves en estos dispositivos, el único peligro que supone es que alguien pueda realizar un ataque de MITM, la autenticación de los dispositivos es únicamente mediante usuario/contraseña, no es posible realizar la autenticación mediante clave publica/privada. Además para realizar la autenticación mediante claves (aunque estos dispositivos no lo permiten) necesitaríamos obtener la clave privada, la cual tampoco se dispone de ella.