Hace unos días nos hacíamos eco de un problema de seguridad en el Zyxel P-870HW que Movistar suministra a sus usuarios de VDSL. El problema fue detectado por un usuario de los foros de ADSLZone, que observó que en el router existía activado un usuario oculto, con el cual se podía acceder vía web a la configuración del router. Por lo que además del «clásico» 1234, además exitía un usuario user.
Movistar hace unos días hacía pública una actualización del firmware del router, encargado de solventar este error y otros muchos que fueron detectados por los usuarios, como por ejemplo la asignación como servidor DHCP a los ordenadores el 192.168.1.1, que corresponde a la puerta de enlace, y no los servidores DNS clásicos de Movistar. Algunos otros problemas también fueron detectados, como en la apertura de puertos, algunas utilidades como WOL, …
El problema es que algunos problemas graves, no se solucionan con este firmware.
Este es el caso del usuario oculto, y es que a pesar de que todos los usuarios creíamos que se solucionaba este error, esto no es así y el usuario sigue estando habilitado, por lo que se puede acceder al router utilizando este login.
Se trata de un problema muy significante de cara a la seguridad del router y de momento la única solución que Movistar ha dado, no ha funcionado por lo que la actualización que ya de por sí, corregía pocas cosas, ahora descubrimos que una de las fundamentales no ha funcionado. Como veis la variante de este firmware es la b27 mientras que su antecesora era la b25.
Solución que os proponemos en RedesZone
La solución que dábamos con la ayuda de un usuario de ADSLZone, es la del cambio de la contraseña de acceso a la cuenta que también es user, de este modo, aunque no este deshabilitada, por lo menos la clave no será la misma.
En el siguiente enlace, os ponemos el manual que dábamos escasamente un mes de como realizar este proceso