[Vulnerabilidad] Administración remota Cisco EPC3825 Euskaltel.

kub0x · 17 Enero 2013, 00:33 AM

Buenas noches a todos,

el propósito de este post es informar sobre una vulnerabilidad hallada en la actualización de firmware de los routers Cisco EPC3825 suministrados por la compañía telefónica vasca Euskaltel. No me hago responsable del uso y/o aprovechamiento de la vulnerabilidad que va a ser explicada.

Esta mañana, como cualquier otra, me encontraba en la universidad trabajando en un proyecto que tengo entre manos. Al tomarme un rato libre me he dispuesto a escanear los servicios que corren detrás de mi router a través de la red de la universidad. Como uno de mis ordenadores está asociado a un servicio de redireccionamiento DNS gratuito he conseguido la IP pública de mi red, es decir, la IP con la que realizas consultas sobre los diferentes servicios que ofrece Internet. Al finalizar el escaneo he comprobado que el puerto 8080 (generalmente empleado como proxy para acceder remotamente a la configuración del router) se encontraba abierto. Para mí asombro dicha opción se encontraba deshabilitada en el panel de administracción remota de éste por lo que empecé a pensar que podría ser un fallo de configuración del router o de la ISP vasca.

Al de un rato, en casa, me comuniqué con el servicio de averías de Euskaltel notificándoles mi problema y abriendo un parte de incidencia, ya que ellos no supieron explicarme lo que realmente ocurría con dicho servicio, incluso llegaron a decirme que había instalado Software adicional que podría causar que dicho puerto estuviera abierto o que había configurado erróneamente el dispositivo. Como soy bastante paranoico con ciertas cosas, y más cuando tienes una puerta trasera que actualmente no está parcheada me he enfocado en comprobar si con otros dispositivos ocurre lo mismo.

Como prueba de concepto, he sido capaz de acceder al panel administrativo de otros dispositivos Cisco EPC3825 a través de la ya mencionada "puerta trasera", por lo que se confirma la existencia de dicha vulnerabilidad en este modelo de enrutadores.

Cabe decir que la ISP vasca instala las pertinentes actualizaciones cuando lo ven necesario, sin embargo, como me he podido percatar, no tenían nociones de que este problema de inseguridad estaba presente en dicha versión del Firmware. Lo más seguro es que no tarden mucho tiempo en parchearla, pero por ahora sólo nos podemos defender aplicando ciertas medidas de seguridad, aquí os dejo algunas recomendaciones a los usuarios con el mismo problema:

Cambiar las credenciales predeterminadas empleadas en la autentificación del panel administrativo del dispositivo, así como la filtración del puerto empleado por el Proxy para que bloquee las posible conexiones sobre dicho servicio.

Sed buenos

Saludos!

ChimoC · 17 Enero 2013, 09:25 AM

Buenas:

Muchas gracias por el aporte

Chincheta

Saludos

ChimoC

kub0x · 17 Enero 2013, 16:51 PM

Gracias ChimoC por tu atención, espero que el aporte haya sido de tu agrado.

Posteo para decir que han filtrado el puerto que conecta con el servicio desde la red Euskaltel, es decir, cualquier usuario que navege a través de una conexión contratada con esta ISP no podrá acceder mediante dicho puerto a ningun servicio de administración remota de dispositivos de terceros de la misma línea. Os mantendré informados segun vayan apareciendo cambios en el tema. Esperemos que lo solucionen pronto.

Saludos!

kub0x · 21 Enero 2013, 00:13 AM

Buenas noches a todos,

he preparado una Prueba de concepto para que veais el alcance que tiene la vulnerabilidad, básicamente la PoC se basa en hacer un escaneo comprobando si la Radmin está habilitad en cierto rango de IPs de dispositivos pertenecientes a la ISP Euskaltel. Nada complicado de implementar.

El rango de direcciones escaneadas lo integran 4096 dispositivos, aunque pudiendo hacer un análisis de varios rangos he decidido hacerlo de esta forma. Los resultados demuestran la seria inseguridad a la que se exponen decenas de routers, pudiendo ser atacados y/o manipulados con fines maliciosos que pueden comprometer la confidencialidad o integridad de terceros.

Aquí os dejo un par de imágenes para que veais los resultados:

Durante el análisis:

Después del análisis. Breve resultado de dispositivos vulnerables:

Al final del escaneo, 990 dispositivos tenían la Radmin habilitada, sólo en un rango de 4096 dispositivos.

Saludos!

jemez44 · 16 Marzo 2013, 14:16 PM

Que alguien lo traduzca al cristiano.
¿quiere decir que si tengo un touter de esos se me puede colar un hacker? ¿sin meter la contraseña?

Perdón si la pregunta es absurda.

kub0x · 16 Marzo 2013, 14:52 PM

No me dio por auditar la seguridad del mismo modelo de router ofrecido por distintas compañías, pero podrías hacerlo tú. Solo necesitas hacer un SYN Port Scan a tu red apuntando puerto 8080 desde una red ajena a la tuya. La vulnerabilidad reside en que la administración remota del dispositivo está habilitada predeterminadamente y no se puede DESACTIVAR (por mucho que en la config del router ponga que dicha opción está deshabilitada).

Saludos!

GARROTE · 11 Diciembre 2013, 18:24 PM

Muy buen aporte. Entonces no son tan buenos los ciscos !!!