Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

6

Bug en OCR812 permite acceder a cualquier puerto

BugTraq publicaba ayer el envío de Ismael Briones (del dpto. internet El Mundo) en el que describe una nueva vulnerabilidad del router 3Com 812.

Esta vez se trata de un extraño comportamiento del protocolo PAT (Port Address Translation), utilizado habitualmente para redirigir un puerto a un ordenador de la red interna. El problema reside en que en el momento posterior a establecer una conexión con un puerto redirigido con PAT, el router permite la conexión con cualquier otro puerto que habitualmente esta cerrado. De esta forma, simplemente habría que hacer un intento de conexión a un puerto PAT cada pocos segundos y mientras tanto tendríamos acceso libre al resto de puertos para realizar scaneos y otros intentos de conexión.

Se ven afectados los firmwares 1.1.9 y 1.1.7. De momento la única solución es desactivar PAT o instalar un firewall, ya que 3Com no dispone de ningún parche.

Reportado por Crown en el foro de Hack|Seguridad

Email aclaratorio de Ismael:

Hola:
Tras investigar un poco, he comprobado que el problema es debido a
que se encuentra activado por defecto la opción Intelligent Nat, lo que
permite que a partir de una conexión válida, el resto de conexiones desde la misma ip sean aceptadas y redireccionadas a la misma ip interna a la que se redireccionaba el puerto inicial.
Deshabilitando esta opcion en el router se soluciona el problema. He
mandado el mensjae a bugtraq, pero aun no lo han publicado.
Saludos

Actualizado con email de Ismael

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    BocaDePez BocaDePez
    0

    ¡ATENCION!

    Os pongo un trozo de texto que lei por aí que habla sobre este tema y lo de desactivar el iNat o no que creo que es interesante que leais entero:

    ....

    Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en
    otros foros y paginas web y está apareciendo como algo nuevo...
    Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:
    Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)
    Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas
    bien a que se le pueden poner filtros, como a cualquier router.
    Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado
    para dejar pasar conexiones, no para impedirlas.
    NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.
    En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un
    ataque, el router considera todas las conexiones que vengan de B como
    destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y
    las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto
    de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT
    dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que
    sin iNAT no funcionan o necesitan una configuracion especial.
    Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es
    en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en
    casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,
    pero nunca confiar en que NAT va a filtrar conexiones.
    Por favor, corred la voz o referid estos mensaje si veis algun sitio donde
    se habla del "nuevo bug" del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.
    espero que os sirva un saludo

  • Cerrado

    BocaDePez BocaDePez
    0

    HABER QUE NO, HABER SI OS ENTERAIS

    Bueno soy MrBunbury, algunos me conocerán y tal, pues nada os voy a pastear una noticia que ha mandando Tami a http://www.adslayuda.com y que no es otra cosa que la opinión de Antonio Martos sobre este Bug que como veréis no es tal cosa:

    Tami escribe: El gran guru Antonio Martos nos ha enviado el siguiente post al grupo de news: "terra adsl":
    Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en
    otros foros y paginas web y está apareciendo como algo nuevo
    ...
    Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:
    Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)
    Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas
    bien a que se le pueden poner filtros, como a cualquier router.
    Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado
    para dejar pasar conexiones, no para impedirlas.
    NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.
    En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un
    ataque, el router considera todas las conexiones que vengan de B como
    destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y
    las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto
    de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT
    dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que
    sin iNAT no funcionan o necesitan una configuracion especial.
    Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es
    en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en
    casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,
    pero nunca confiar en que NAT va a filtrar conexiones.
    Por favor, corred la voz o referid estos mensaje si veis algun sitio donde
    se habla del "nuevo bug" del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.

    • Cerrado

      6

      joder, este tema empieza a ser pesado, a ver si ese Antonio…

      joder, este tema empieza a ser pesado, a ver si ese Antonio Martos es capaz de explicarme para qué cojones sirve un firewall cuando tienes NAT activado y iNAT desactivado... el NAT no deja pasar NINGUNA CONEXIÓN DESDE FUERA a no ser que lo hayamos configurado en el router, y estando iNAT desactivado claro. Yo lo he tenido asi un huevo de tiempo, con firewall activado, y NO HA PASADO NI UN PUÑETERO ESCANEO A MI RED LOCAL. Al final he quitado el firewall, en mi opinión es que cuando tienes NAT activado para lo unico que sirve es para ralentizar el ordenador comiendo recursos. Es una tontería en conclusión...

      y he estado viendo esa adslayuda.com.... las ideas que tienen no son muy claras que digamos..

      • Cerrado

        BocaDePez BocaDePez
        0

        A ver figura. Dado q eres muy listo, muy inteligente y q te…

        A ver figura. Dado q eres muy listo, muy inteligente y q te enervas con facilidad no sere muy extenso en mis lineas. La gente suele meter la pata cuando habla de algo q no sabe pero es peor cuando la gente habla de algo q es consciente q no sabe y aun asi sigue hablando, este es tu caso. Por eso a ver si dejas de hablar tanto, te informas mas un poco del tema y luego a partir de hay podemos empezar a debatir en cualquier foro. Para empezar Antonio Martos parece tener bastante mas conocimientos q tu sobre el tema y cuando dice q no hay un firewall en el router es q no hay un firewall, cosa q debido a tus extensos conocimientos ya deberias saber. Ya q no es lo mismo el FILTRAR una informacion q tener un puerto cerrado. Asi q sobre lo de tener las ideas aclaradas, bueno hay q pensar q para tener ideas y defenderelas te tienes q asegurar de estar sobre lo cierto, cuando tu creas estar sobre lo cierto tendras alguna idea y a partir de hay conseguiras decir algo con coherencia. Ok?

        Bueno ya no os hago leer mas. Ahh "activado y iNAT" jurl no te enseñaron de pequeño q cuando despues hay una i se pone e? bueno hasta luego gente.

        Judas2002.

        • Cerrado

          BocaDePez BocaDePez
          0
          Se que no viene al tema... pero antes de mirar la joroba de…

          Se que no viene al tema... pero antes de mirar la joroba de los otros mirate la tuya... que el foro no es de clases de ortografía.

          Bueno ya no os hago leer mas. Ahh "activado y iNAT" jurl no te enseñaron de pequeño q cuando despues hay una i se pone e?

          A ver si en esta frase que has escrito tu, encuentras alguna falta vale??

          Por eso a ver si dejas de hablar tanto, te informas mas un poco del tema y luego a partir de hay podemos empezar a debatir en cualquier foro

          Saludos, y perdón por las clases de ortografia.

          • Cerrado

            BocaDePez BocaDePez
            0
            Mirarse la joroba. Pues como no dispongas de un espejo tarea…

            Mirarse la joroba. Pues como no dispongas de un espejo tarea complicada eh?.

            Bueno todo viene a q ¿No teniamos la ideas claras?.

            Respondiendo a eso. Como ha dicho mi compañero no eres quien para evaluar nuestros conocimientos sobre la materia, ni tampoco me quiero poner a discutir sobre quien sabe mas si TU o nosotros. Lo unico q se es q nosotros ayudamos a la gente a resolver sus problemas con la linea ADSL, lo cual no quiere decir q tu no lo hagas y si lo haces FELICIDADES. Dada la experiencia q vamos adquiriendo en esta rama de las conexiones a internet, me parece muy falso por tu parte el q llegues a decir q no tenemos las ideas claras no es q seamos eruditos pero algo sabemos sobre el tema.

            Ahhh y antes de mirar la joroba de los otros mirate la tuya..... a ver si TU tienes las idas claras.

            P.D. No digo mas "ideas claras" pq seguro q me criticas de redundancia.

          • Cerrado

            BocaDePez BocaDePez
            0
            Mira tío soy compañero de judas2002 y por supuesto ni eres…

            Mira tío soy compañero de judas2002 y por supuesto ni eres quien para darle clases de ortografía ni creo que las necesite porque creo que el bachillero lo pasó hace tiempo. En cuanto a los conocimientos referidos a el ADSL cuando quieras podemos tener una charlita en #adsl_ayuda que allí solemos estar, porque aquí no sé de que te las vas dando ya que nosotros no presumimos de saber de ADSL y lo único que hacemos es intentar ayudar y plasmar nuestros conocimientos

      • Cerrado

        NAT esta diseñado para dar acceso a varios equipos utilizando…

        NAT esta diseñado para dar acceso a varios equipos utilizando una o mas IPs, asi que es un sistema diseñado para permitir acceso no para impedirlo (como dice Antonio). NAT funciona de manera similar a un cortafuegos PERO solo para el trafico entrante. Si alguno de los equipos de tu red tiene un troyano/bot/etc... que inicia la comunicacion con el exterior NAT la va a permitir pues es trafico saliente.

        Ademas un cortafuegos personal moderno controla individualmente cada una de las aplicaciones, permitiendo abrir los puertos unicamente cuando tienes algo escuchando en ellos y no siempre. Permite definir las IPs de los equipos con a los que permites entrar, salir, etc... Es un sistema diseñado para seguridad y no para permitir la comunicacion (como NAT).

        Al final es cuestion de preferencias personales: Hay gente que instala alarmas en los coches aunque estos ya tienen cerradura que impide el robo....

        Saludos,

        • Cerrado

          BocaDePez BocaDePez
          0
          joer, por algo será que la gente dice que estoy cabreado…

          joer, por algo será que la gente dice que estoy cabreado cuando no lo estoy.... que asco de caracter tengo, debe ser la edad :p lo siento por todos, pero las mayusculas no las quería poner como para estar gritando...... en fin, lo siento de veras, acababa de llegar del insti y había tenido un examen que no habia sido lo mejor del curso.

          solo 1 duda sobre este comentario... los troyanos se quedan escuchando en un puerto, o abren conexiones al exterior? creia que se quedaban escuchando con lo cual el router bloqueaba, pero me equivoco?

          soy Luke en el ordenata sin cookie otra vez

          • Cerrado

            Hay varios troyanos que lo que hacen es abrir conexiones al…

            Hay varios troyanos que lo que hacen es abrir conexiones al exterior, por ejemplo a conexiones a servidores IRC donde el 'pseudo hacker' que suele ser un niñato ha abierto un canal privado con password y donde entran todos esos bots que hay instalados en los ordenadores infectados. Desde ahi pueden dar ordenes a los equipos infectados.

            Hace unos meses el servidor de Steve Gibson ( http://www.grc.com ) sufrio un ataque DoS y lo documento, estaba siendo atacado desde cientos de ordenadores infectados con esos bots ( http://grc.com/dos/drdos.htm ).

            Ademas de los troyanos, estan los programas spyware, o simplemente puedes querer evitar que ciertos programas envien informacion a algunos sitios, etc...

            Saludos

      • Cerrado

        BocaDePez BocaDePez
        0

        Haber en primer lugar demuestras que no tienes ni p*** idea…

        Haber en primer lugar demuestras que no tienes ni p*** idea porque no sabes ni de lo que hablas, el caso es que hablas por hablar pero en fin.... otra cosa, en adslayuda me puedes decir que ideas no están claras o no tenemos claras? Vamos no se como te atreves a decirte que no tengo las ideas claras XDDD Si quiereres postea algo en la web y debatimos haber que claras tengo las ideas majete.

        * En resumen pasa del tema del Bug, pero no trates de comprenderlo porque de donde no hay no se puede sacar

        MrBunbury

        • Cerrado

          BocaDePez BocaDePez
          0
          Hola muy buenas soy un colaborador de www.Adslayuda.com,en…

          Hola muy buenas soy un colaborador de www.Adslayuda.com,en refente a lo que dices Luke,creo que el confundido y equivocado eres tu señor mio.Si lees detenidamente el post que dejo Tami veras como todo esta muy bien explicadito,pero claro es muy largo y aburrido para leerlo ¿no?,ya se, tu oyes pajaros y quieres que te soluciones las cosas los demas ¿verdad?,por que aprender que es bug,firmware etc,es muy aburrido y claro venimos cansados del curro para eso ¿no?.Lo unico decir que por favor no tireis por tierra los trabajos de otra gente,ni en este pagina ni en otras,por que hay gente detras currandoselo para todos aquellos que se inician en estos temas,y encima estan hay sin animo de lucro.Un saludo a todos,para ti otro Luke.

          Mard1.(Mardi)

          • Cerrado

            BocaDePez BocaDePez
            0
            ok, bien, si tengo tan poca idea por favor decidme qué uso…

            ok, bien, si tengo tan poca idea por favor decidme qué uso tiene un firewall cuando se tiene NAT activado.

            Y no me digáis para controlar las aplicaciones que salen a internet, que eso ya lo sé.

            *sigh*, sé que me debía de haber moderado un poco antes, ya me imaginaba que tendría respuestas similares (este post también tendrá respuestas tipo 'ahora te disculpas no??' pero que mas me da ya) pero es que echando un vistazo a adslayuda me encontré por ahi que decia que la firmware 2.0 no tenia aplicacion para crear filtros, y no me parecía correcto... aun así me disculpo ahora, aunque sea inutil ya

            soy Luke, pero estoy en otro ordenador y no tengo la cookie.

  • Cerrado

    BocaDePez BocaDePez
    0

    para el bocas anterior xD

    El figurín se ha callado. será que ya no tiene las ideas claras. O si? un saludo pa tos los de ba y por suspuesto pa los de AA XDDD

  • Cerrado

    12

    vulnerabilidad?

    Esa vulnerabilidad no es tal, se trata del 'Intelligent-NAT' o 'Intelligent-PAT' activado (por defecto esta activado). Esta caracteristica y como activarla y desactivarla se encuentra documentada en la version 2.0 del manual CLI.

    • Cerrado

      6

      El problema está en que un usuario crea que su red está…

      El problema está en que un usuario crea que su red está protegida redireccionando solo los puertos que le interesan estén en la parte pública, y habilite un FTP para su propia LAN(por ejemplo).

      Un atacante podria localizar dicho puerto, en principio capado por el router, y hacer estragos en el servidor.

      De todas maneras sostengo que es un bug cuando se desconoce la existencia de "Intelligent-P/Nat", y esto demuestra que siempre hay que leerse el manual de cabo a rabo antes de nada y por seguridad.

      Un saludo a todos

      www.seguridadysistemas.com

    • Cerrado

      BocaDePez BocaDePez
      0

      No se si se puede caracterizar de vulnerabilidad o no... no…

      No se si se puede caracterizar de vulnerabilidad o no... no entro en esas cosas.

      Pero el Modelo que Telefonica instala en España, la versión más avanzada "oficial" de firmware es la 1.9, con lo que si se instala la versión 2.0, aunque funcione, puede tener efectos colaterales....

      • Cerrado

        BocaDePez BocaDePez
        0

        La funcion 'Intelligent-NAT' tambien esta presente en la…

        La funcion 'Intelligent-NAT' tambien esta presente en la version 1.1.9 (y creo que en la 1.1.7). Aunque no esta documentada en el manual CLI. Si haces:

        show vc nombre_vc

        veras si lo tienes activado. Como esta activo por defecto seguro que lo tienes.

        Para desactivarlo:

        set vc nombre_vc intelligent_nat_option disable

        grabas y reinicias.

        En cuanto a que la version 2.0 no es para el modelo Europeo no se que decirte. Yo la uso desde que salio. Parece ser que al incorporar encriptado fuerte en el VPN puede tener porblemas para ser exportado al mercado Europeo (debido a las absurdas leyes de USA) pero funciona sin problemas (al menos a mi me funciona).

        • Cerrado

          Cuando leí tu comentario me fui a 3com.com del tirón para…

          Cuando leí tu comentario me fui a 3com.com del tirón para bajarme el firm 2.0 y ver si es verdad que rula (ya que sabeis q 3com excluye explícitamente todas las versiones de router que no sean la 3CR414492)

          Sin embargo funciona! Y si leemos atentamente ese documento que todos aceptamos sin leer cuando nos bajamos algo xD pues... indica que efectivamente ese firmware no se puede usar en paises que esten en las denial list oficiales de usa como son Cuba, Afganistán, Irak y otros.

          Tambien indica que no puedes reexportar el firmware y tal y tal pero... de que no se pueda usar en Europa nada. 3com excluye los router de referencia anterior por cuestiones seguramente relacionadas con el soporte y otras para cubrirse las espaldas o por cuestiones "inconfesables" pero el caso es que... funciona! :-)

          Salud

        • Cerrado

          Yo me estaba asustando ya XDDD Os confirmo ke en la versión…

          Yo me estaba asustando ya XDDD

          Os confirmo ke en la versión 1.1.7 del firmware tb están disponibles esas opciones.

          • Cerrado

            nombre_vc es el nombre de la 'Virtual Connection' que usas.…

            nombre_vc es el nombre de la 'Virtual Connection' que usas. Por defecto Terra/Telefonics usa el nombre 'internet' pero puedes verlo usando:

            list vc

            y el comando final seria:

            set vc internet intelligent_nat_option disable

            salvar y reiniciar.

            No se puede hacer via web.

  • Cerrado

    No es exactamente un bug

    Os pego la respuesta de Antonio Martos (colaborador de Terra) en las news terra.adsl:

    > Se trata de un extraño comportamiento del protocolo PAT (Port Address
    > Translation), utilizado habitualmente para redirigir un puerto a un
    > ordenador de la red interna. El problema reside en que en el momento
    > posterior a establecer una conexión con un puerto redirigido con PAT, el
    > router permite la conexión con cualquier otro puerto que habitualmente
    esta
    > cerrado. De esta forma, simplemente habría que hacer un intento de
    conexión
    > a un puerto PAT cada pocos segundos y mientras tanto tendríamos acceso
    libre
    > al resto de puertos para realizar scaneos y otros intentos de conexión.
    Eso es INAT o Intelligent NAT, es una opcion de NAT. Esta documentado en la documentacion (actualizada) del router.
    >
    > Actualmente 3Com no dispone de ningún parche para este bug, así q la única
    > solución puede ser desactivar el PAT (Port Adress Translation) o instalar
    un
    > buen firewall ;-)
    Porque no se trata de un bug sino de una caracteristica. Se puede desactivar iNAT si no te interesa.
    No obstante la recomendacion de instalar un firewall es buena
    independientemente, ya que NAT en general no es un mecanismo de seguridad ni un firewall.

    • Cerrado

      6

      pero vamos a ver.... NO HACE FALTA DESACTIVAR NAT NI NADA!…

      pero vamos a ver....

      NO HACE FALTA DESACTIVAR NAT NI NADA! solo hay que desactivar el intelligent NAT (o intelligent PAT en la firmware 2.0)

      Y el PAT es suficiente seguro si esta BIEN configurado, y NO hace falta firewall.

    • Cerrado

      6

      vaya me ha salido un pareado... jejejeeee bien a lo q vamos,…

      vaya me ha salido un pareado... jejejeeee

      bien a lo q vamos, acabo de hacer telnet al router pues me he acojonao con esta noticia y al listar el vc no me salen esos valores, uufffff... menos mal, claro si estoy en monopuesto xDD.

      acuerdense de los usuarios q tambien estamos en monopuesto q luego nos pegamos los sustos.

      saludos

      • Cerrado

        BocaDePez BocaDePez
        0

        Perdonar mi ignorancia, pero prefiero preguntar y salir de…

        Perdonar mi ignorancia, pero prefiero preguntar y salir de ella.

        Entonces los usuarios que tenemos este router en MONOPUESTO, ¿NO NOS AFECTA?.

        ¿SOLO AFECTA AL TENERLO EN MULTIPUESTO?

        Espero que alguien que sepa del tema, (que en este weblog abundan) me aclare estan gran duda.

        Nota: Abstenerse comentarios hironicos y jokosos.

        Gracias

        • Cerrado

          6
          el comportamiento del Intelligent NAT es redirigir más…

          el comportamiento del Intelligent NAT es redirigir más puertos de los que debería, con el router en monopuesto los redirecciona directamente todos xD así que por eso se necesita firewall.

1