Nuestro compañero Juju666 nos ha informado de que en algunos foros underground y blogs de seguridad, se está corriendo la voz de que los routers ADSL de Movistar tienen un enorme fallo de seguridad.
Este fallo de seguridad radica en que si el usuario ha activado la administración remota vía web (en WAN, es decir, en el interfaz cara a internet), cualquier persona puede cambiar las contraseñas de administrador y modificar su configuración como quieran…por ejemplo, para crear una gran botnet de routers “zombies”.
A continuación tenéis más información
Para comprobar este fallo, basta con poner nuestro router para que se pueda acceder desde el exterior, irnos a una red externa y poner: ip_publica/password.cgi con lo cual, puedes ver la clave del router y cambiarla. Se dan dos errores, en primer lugar que password.cgi no comprueba que tengamos una sesión con lo cual, nos deja acceder sin autenticarnos y en segundo lugar que si vemos el código fuente de la página aparecen las contraseñas «en claro».
El listado de routers que se detallan es el siguiente:
Comtrend (CT-5072, CT-5372, CT-5367 y WAP-5813n)
DLINK (DSL-500B y DSL-500B II)
Ovislink
Pikatel (Airmax 101)
TP-LINK (TD-W8920G, TD-W8950ND y TD-W8900G)
ZTE (ZXV10 W300)
Zyxel (P-870HW-51A V2) :
Esta vulnerabilidad no es nueva, pero pero si lo es la lista de routers afectados por la vulnerabilidad (todos ellos de Telefónica / Movistar y «actuales»).
Ya hemos podido ver algun script que empleando el buscador Shodan busca los routers vulnerables, a si que comprobad vuestros routers y ya de paso, aseguraos que la configuración (DNS, NAT, etc) es la vuestra.