Entre algunos colaboradores e integrantes de ADSAyuda.com se han descubierto varias vulnerabilidades en el router 3com Wireless 11g (distribuido por ya.com). En principio permiten a cualquier usuario de internet el control absoluto del router si tenemos activado el acceso remoto al mismo, sin necesidad de contraseña. También ocurre el mismo problema en la red local, con el agravante de que es totalmente accesible mediante una simple tarjeta de red wireless. En principio afectan al firmware 1.02, no habiéndose
comprobado en ninguno más. Sigue leyendo (explicación de las vulnerabilidades y soluciones provisionales a las mismas). Actualización 11/01/2004:
Salva0 nos remite este Test de seguridad
para el router 3com Wireless 11g. Actualizamos también la extensión
de la noticia con explicaciones más extensas y aclaratorias, además
de una completa serie de soluciones provisionales a las vulnerabilidades. Actualización 12/01/2004: Se va entrelazando más la cosa: aún teniendo el acceso remoto desactivado es posible acceder al router para explotar la falla si el firewall integrado se encuentra inoperativo.
Hace unos días recibimos un correo de Salva0
que fue posteado
en el foro. Días más tarde dicho artículo apareció
también en diversos lugares como Barrapunto.
En él, nuestro amigo nos comunicaba como, tras un proceso para destripar
las entrañas del router, había observado que este poseía
páginas ocultas (algunas ya circulaban por internet), informaba de los
parecidos razonables de este router con otros modelos (de estos ya se habló
en el mismo post
del foro con anterioridad) y se percataba de que usaba programas tales como
una versión anticuada de apache y otro de código GPL (que incumple
la licencia).
Tras esto, Metis
publicó en el foro una lista de páginas
ocultas en la interfaz web del router, páginas descubiertas
analizando el firmware 1.02. Sólo son accesibles poniendo directamente
la dirección en el navegador (no mediante el menú del router).
Mediante una combinación sencilla de tan sólo 2 páginas
sucesivas, el router interpreta que el usuario ya se ha identificado con la
contraseña y le permite el acceso TOTAL a las páginas
habituales de configuración. Es decir, el completo control sobre el mismo.
El problema es grave, puesto que cualquier router que tenga activado el control
remoto del mismo está completamente desprotegido.
Tras diversas puebas se ha podido comprobar como aún teniendo desabilitado el acceso remoto es posible acceder al router, explotar la falla y obtener el control total. Esto se produce cuando el firewall integrado en dicho router es desactivado.
Salvador (Salva0) nos aclara más el tema, lo que nos cuenta es quizás
la raíz del problema, a partir del cual se dan varias vulnerabilidades
y sin duda la mayor de todas que nos permite el acceso total:
«Bueno, yo he encontrado algún problema mas, por ejemplo,
que la opción para deshabilitar la administración remota solo
funciona si el firewall esta activado y que la interfaz de administración
también es accesible en el puerto UPnP 1900 porque la misma web se usa
para las dos cosas (administración y UPnP).
También, como estos cacharros corren Apache/0.6.4 que es una versión
de Apache de 1996 (mas o menos) con cantidad de problemas de seguridad que se
pueden encontrar documentados en diversas webs en internet, algunos incluso
permitirían ejecutar cualquier código en el router (la única
dificultad seria encontrar herramientas de desarrollo adecuadas para el sistema
operativo y el procesador del router pero todo es posible).
Otra vulnerabilidad (a parte de la página que proporciona acceso
total) es que el mecanismo de autenticación web esta basado en IP y es
muy fácil saltárselo en determinadas circunstancias.»
Por otra parte, existe otro problema serio: La configuración por defecto
del aparato trae activado el acceso wireless con DHCP y sin encriptación,
incluso con la difusión ESSID activada. Es decir, cualquiera
con un portátil con wireless y la tarjeta en automático en el
radio de alcance del router podrá identificar la red creada por el 3com
11g y tener acceso directo a internet y a nuestra red local inmediatamente.
Referente a estas últimas vulnerabilidades, que son perfectamente catalogadas
también como negligencias, Salva0 nos comenta:
«La configuración del router es accesible desde internet a trabes
del servicio SNMP que esta activo por defecto y no se puede deshabilitar con
ninguna opción de la web de configuración. Además, las
comunidades (equivalentes a claves) de lectura y escritura son las que se usan
por defecto en SNMP "public" y "private"
A través de SNMP se pueden cambiar muchos parámetros del
router así como averiguar fácilmente que es lo que hay detrás
y este servicio es accesible incluso con el firewall activado.»
Si esto último lo combinamos con que tiene completo acceso también
a la configuración puesto que se puede saltar la contraseña, como
hemos explicado más arriba, tenemos un bonito resultado: Routers
para todos e internet gratis para los vecinos. Además del posible uso indebido del router como proxy que puedan realizar terceros o la obtención de datos muy delicados como el nombre de usuario y contraseña para gestionar todos los servicios contratados con el proveedor.
La Soluciones.
Las soluciones provisionales por el momento hasta que el responsable legal
de los diversos problemas (Ya.com) facilite una nueva versión del firmware
que corrija los mismos son:
-
No activar el acceso remoto al router (por defecto desactivado) ni desactivar el firewall integrado, así
evitamos las intrusiones externas. -
Para los que usen el router sólo por cable, ir al menú Red
Inalámbrica y desactivar la Funcionalidad Wireless. -
Los que usen la funcionalidad wireless deberán usar un método
de encriptación (menú Red Inalámbrica > Seguridad)
y/o restricción de MAC (Firewall > Filtrado de direcciones
MAC). La MAC es la dirección física, fija y única
de todo dispositivo de red. Para averiguar la dirección MAC de nuestra
tarjeta wireless tecleamos en línea de comandos "ipconfig /all",
"winipcfg /all" o "ifconfig" (depende de nuestro sistema
operativo). La MAC es del tipo XX:XX:XX:XX:XX:XX. -
Establecer las siguientes reglas en el NAT (estás actuarán
como si de un filtro se tratase al derivar las peticiones que circulen por
estos puertos a una IP inexistente en nuetsra red: 192.168.2.254): Aquí
la captura.
Podéis efectuar este test
de seguridad realizado por salva0 para comprobar si vuestro router
sigue teniéndo los problemas de seguridad.
Nota: No se describe el proceso por razones obvias de seguridad,
pero vamos, que es bien sencillo, de ahí su alto riesgo. Nos pondremos
en contacto con Ya.com (la responsable legal para proporcionar una solución
a sus usuarios). No dudéis en llamarles y reclamar. Ha sido además
comprobado en el canal #ADSL_Ayuda
del IRC-Hispano, con las colaboraciónes
de echo.request,
moderador de los foros de ADSLAyuda.com.