Aunque llevo con mi nuevo router ADSL desde septiembre todavía no había tenido tiempo de "meterle mano", los inicios de curso son difíciles y hay muchas clases que preparar y materiales que revisar, sobretodo en el caso de que seas profesor de informática y todo lo del año pasado no sirva para mucho porque alguien ha decidido sacar una nueva versión del lenguaje que enseñas o cambiar algún programa incluyendo nuevo interface, funciones, etc... pero bueno, la entrada de hoy no va de quejas sobre lo duro que es trabajar como profesor de informática y estar actualizado sino sobre lo difícil que es, en pleno 2016, que un proveedor de Internet se preocupe de instalarte un router con unas mínimas condiciones de seguridad y vamos a ver mis razones....
El router: Comtrend AR-5315U (Alias, el coladero)
Imagen. Router Comtrend Ar-5315U
Visto en foto no parece tan peligroso, tampoco se ven los agujeros, pero tenerlos los tiene y no son solo de ventilación, vamos a comprobarlo....
Accediendo a la gestión del router por medio del interface Web (normalmente escribiendo http://192.168.1.1 en tu navegador de Internet desde un equipo de casa) lo primero que obtenemos es una solicitud de nombre de usuario y contraseña. En el caso de los routers de mi proveedor de Internet solo hay que "googlear" un poco para ver que es admin/admin.
Imagen. Información del dispositivo
Y como cabría esperar ya estamos dentro, evidentemente la primera cosa que piensas es "esa contraseña hay que cambiarla" y la segunda es "¿habrá más usuarios?" Pues a mirarlo....
Trasteando un poco es fácil encontrar en el menú Management la configuración del cliente TR-069 que permite el acceso desde un servidor remoto de autoconfiguración y bueno, parece que la configuración está correcta y es segura o casi, no tengo claro que el acceso no sea mediante admin/admin también... en todo caso si queremos podemos deshabilitarlo pero entonces nosotros deberíamos ocuparnos de las actualizaciones y eso, como veremos al final, es algo complicado.
Además de eso tenemos la opción Access Control que nos muestra una pantalla que puede llegar a poner los pelos de punta, no directamente, sino en el momento en el que te enteras de cuáles son las contraseñas por defecto...
Imagen: Descontrol de acceso
Básicamente, el acceso al router se controla mediante tres usuarios:
- Admin. Que tiene acceso a todo el sistema.
- Support. Que en teoría sirve para permitir a un técnico de nuestro proveedor de Internet acceder al router para matenimiento y diagnóstico.
- User. Permite acceso al router para ver la configuración y las estadísticas y además puede actualizar el software del router.
Vamos, que primero tenemos que fiarnos que la contraseña del usuario support esté a buen recaudo bajo la custodia de nuestro proveedor de Internet, aunque realmente ni siquiera les hace falta ponerla en un post-it pegado debajo del teclado, ya que es la misma que el nombre de usuario. Por otro lado el usuario user solo puede ver la configuración pero para que se sienta importante le permito actualizar el software del router para que nos pueda instalar algo que le guste más y le de más privilegios. En todo caso no deberíamos de preocuparnos, se supone que los fabricantes de routers saben del problema de seguridad existente en Internet y por lo tanto habrán puesto medidas...
Accediendo remotamente mediante la contraseña por defecto
Bueno, pues después de cambiar la contraseña por defecto de los tres usuarios, en mi router admin/admin, support/support y user/user (ay,ay, ay....). Empecé a pensar que esas contraseñas lo mismo también permitían acceso desde fuera de mi red local ya que en caso contrario la contraseña de support no tendría sentido y ya que estaba lo iba a probar. Me dispuse a intentar acceder a mi IP externa, pero desde mi casa hay que hacer unas cuantas cosillas y si me equivocaba la prueba podía no dar el resultado correcto, así que pensé que alguien más tendría un router como el mío y me dispuse a buscarlo con shodan (solo con fines educativos, evidentemente).
En la primera búsqueda utilicé de cadena la marca y modelo del router, y no tuve ningún resultado, así que utilizando el identificador de chipset y después de algunos intentos encontré la cadena con la que shodan tiene indexados este tipo de router, pero no la voy a decir que nunca sabes quién puede leer esto....
Imagen. Resultados de búsqueda de shodan
Uno de los primeros resultados era de un router en España, y en total había 1830 routers españoles por lo que podía probar en varios (aunque no hizo falta). Otra cosa que me sorprendió fue la cantidad de servicios Telnet habilitados, Tenía toda la pinta que además del acceso web tuviese un servidor Telnet habilitado.
Bueno, pues era el momento de probar, puse la IP de ese primer router en mi navegador, obtuve respuesta y el sistema me solicitó el nombre de usuario y contraseña y sin mucha confianza puse admin/admin y tachaaaannn estaba dentro y con todos los privilegios.
Una vez más, como soy buena persona cerré el navegador sin tocar nada pero no sin antes capturar esta pantalla, donde se ve que en ese router el propietario había cambiado el DNS secundario por el famoso 8.8.8.8 de Google, Por lo que se supone que algo de pericia debía tener y además es una persona confiada, pensando que su proveedor de servicio nunca le instalaría un router accesible desde Internet con admin/admin y que quizás esa contraseña está solo habilitada para acceso LAN como he visto habitualmente en muchos routers.
Imagen. Información de dispositivo en router vulnerable
Una vez visto esto solo me quedaba comprobar el acceso por Telnet, ¿serían capaces de instalarte en pleno 2016 un router accesible desde Internet mediante una contraseña como admin/admin y además dejarte habilitado el servicio de Telnet con la misma contraseña?
Y por Telnet hasta el infinito y más allá...
Por supuesto que sí, total, si se puede acceder por interface web desde cualquier lugar del mundo con el usuario y contraseña admin/admin para qué nos vamos a complicar la vida protegiendo el acceso por Telnet. Una vez más accedí al sistema para comprobarlo haciendo un Telnet a la IP que encontré en shodan desde Putty, hice un help para ver comandos disponibles y cerré sesión no sin antes capturar una pantalla para el recuerdo.
Imagen: Telnet a router vulnerable
Y ahora qué hacemos....
Bueno, pues después de leer la genial entrada 24 horas en la vida de mi router doméstico y pensar las barbaridades que han podido hacer a mi router en todo este tiempo lo único que nos queda es:
- Reset de harware a configuración de fábrica. No sea que ya te hayan entrado y tengas un firmware de los que gustan de participar en esos ataques DDoS tan de moda últimamente....
- Cambiar todas las contraseñas de acceso.
- Desactivar el WPS
- Instalar el último firmware, si lo encuentras, ya que yo no he sido capaz.... En teoría eso lo hace mi proveedor de Internet a través de su TR-069 pero me temo que se han debido despistar un poco. En todo caso podría ser que esto solo ocurra en determinados modelos de Firmware de este router por lo que convendría que compruebes si en el tuyo pasa lo mismo. Con suficiente tiempo y sabiendo tu IP externa es sencillo de probar, de todos modos si compruebas que estás entre los afectados y puedes buscarte otro router pues casi mejor ;-)
Por cierto, haciendo un escaneo de puertos de mi router he visto que el 23 no es el único puerto que el router ofrece, pero bueno, ¿para qué nos vamos a seguir asustando...?, eso ya lo veremos en alguna práctica de aula donde jugaremos a comprobar la seguridad de nuestros routers domésticos, ¿has probado la del tuyo? ;-)
Gracias por la referencia a mi artículo )
ResponderEliminar