Grave agujero de seguridad en routers ADSL de Movistar

Iniciado por wolfbcn, 9 Febrero 2012, 21:56 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Nuestro compañero Juju666 nos ha informado de que en algunos foros underground y blogs de seguridad, se está corriendo la voz de que los routers ADSL de Movistar tienen un enorme fallo de seguridad.

Este fallo de seguridad radica en que si el usuario ha activado la administración remota vía web (en WAN, es decir, en el interfaz cara a internet), cualquier persona puede cambiar las contraseñas de administrador y modificar su configuración como quieran...por ejemplo, para crear una gran botnet de routers "zombies".

A continuación tenéis más información

Para comprobar este fallo, basta con poner nuestro router para que se pueda acceder desde el exterior, irnos a una red externa y poner: ip_publica/password.cgi con lo cual, puedes ver la clave del router y cambiarla. Se dan dos errores, en primer lugar que password.cgi no comprueba que tengamos una sesión con lo cual, nos deja acceder sin autenticarnos y en segundo lugar que si vemos el código fuente de la página aparecen las contraseñas "en claro".

El listado de routers que se detallan es el siguiente:

Comtrend (CT-5072, CT-5372, CT-5367 y WAP-5813n)
DLINK (DSL-500B y DSL-500B II)
Ovislink
Pikatel (Airmax 101)
TP-Link (TD-W8920G, TD-W8950ND y TD-W8900G)
ZTE (ZXV10 W300)
Zyxel (P-870HW-51A V2) :

Esta vulnerabilidad no es nueva, pero pero si lo es la lista de routers afectados por la vulnerabilidad (todos ellos de Telefónica / Movistar y "actuales").

Ya hemos podido ver algun script que empleando el buscador Shodan busca los routers vulnerables, a si que comprobad vuestros routers y ya de paso, aseguraos que la configuración (DNS, NAT, etc) es la vuestra.

FUENTE :http://www.redeszone.net/2012/02/09/grave-agujero-de-seguridad-en-routers-adsl-de-movistart/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

DoNPiNPoN

como siempre no menciona donde esta el script para buscarlos

Alaitocs

Mu chulo esto pero si no consigues la ip publica del ruter ta jodia la cosa no? :huh:

-- KiLiaN --

Sencillamente quitas la opcion del mantenimiento web desde el exterior y listo ya no hay vulnerabilidad..
Entren al chat de elhacker.net
    
   

@kln13

Pablo Videla

Que alguien me explique como sería eso de una gran botnet de zombies de routers   :huh:

el-brujo

Cita de: Alaitocs en 10 Febrero 2012, 11:27 AM
Mu chulo esto pero si no consigues la ip publica del ruter ta jodia la cosa no? :huh:

Todo el mundo navega con la ip pública del router... no sé a que te refieres.

Basta con scanear un rango de ip's de telefonica para detectar cientos de ip's vulnerables.

Digamos que el 90% de los usuarios dejan el router por defecto, con el acceso wan habilitado. Suerte que remotamente se puede actualizar el firmware del dispositivo.

Lo publicaron primero en el blog de s21 y han borrado la noticia :P

http://blog.s21sec.com/2012/02/grave-vulnerabilidad-en-routers-adsl-de.html

Más info:
http://bandaancha.eu/articulo/8291/indicios-gusano-escanea-routers-adsl-telefonica-secuestrar-dns
http://foro.hackhispano.com/showthread.php?t=41089
http://www.exploit-db.com/exploits/16275/