Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Escalando privilegios en el Comtrend HG536+ gracias a un fallo del firmware

Hace unas horas, publiqué una sencilla aplicación de escritorio llamada Comtrend Pass en la que era posible averiguar la clave de acceso del usuario administrador para poder acceder a la interface del módem/router Comtrend HG536+ que actualmente distribuye Jazztel sin introducir ningún dato, bastando solo con pulsar un botón.

Como veréis, es muy fácil obtener esa clave sin necesidad de resetear o tener conocimientos técnicos sobre el tema, ni programas, sino debido a unos 'fallos' elementales de seguridad que contiene el Firmware.

En principio hay que saber que el acceso a la interface de administración se puede realizar desde 3 cuentas ya creadas y predefinidas cuando se entrega el módem/router al cliente. Cada una de ellas tiene una función diferente, pero es realmente sencillo el saltarse la seguridad como veremos a continuación.

Las 3 cuentas predefinidas son:

Usuario Clave Permisos
admin admin Acceso total a la administración del módem/router
user user Acceso restringido a solo la visualización de datos
support support Acceso para la administración remota.
(usado por el soporte técnico de la operadora)

Cómo acceder

Veamos entonces como acceder, por ejemplo con el usuario: user y tener el acceso como si fuera de administrador.

  • Abrimos nuestro navegador, que en este caso es Firefox.
  • En la barra de dirección, introducimos la IP puerta de enlace. (1)
  • Nos pedirá un nombre de usuario y la clave. (2)
  • Introducimos user como nombre de usuario y user como clave (esto para un acceso restringido) (2)

Ahora tendremos acceso restringido al usar la cuenta de user.

Como vemos en (3), las opciones que tenemos son las básicas. Sin poder realizar gran cosa, más que visualizar datos. Los menús se expanden para mostrar más elementos.

No obstante, vamos a intentar acceder a una de las características que tiene el usuario admin y que no debería poderse realizar con el usuario user.

Una de ellas es la de poder cambiar las claves de las diferentes cuentas (admin, user y support)

En la barra de dirección del navegador introducimos seguido a la IP Puerta de enlace "/password.html" (sin comillas), quedando tal y como veis en (4).

Hasta este punto, ya hemos accedido a una de las páginas de administración que teóricamente solo sería posible con el usuario admin.

Pero... ¿Y donde están las claves?

Realizar lo siguiente:

  • Situar el puntero dentro de la página.
  • Hacer clic en el botón derecho del ratón y seleccionar -> Ver código fuente de la página. (Firefox) ó Ver código fuente (IExplorer)

Obtendremos una visión como la siguiente:

Y allí tenemos visible las claves de acceso de las 3 cuentas.

La primera se corresponde al usuario: admin, la segunda al usuario: user y la tercera al usuario: support

Con este método usado, es posible acceder a otras páginas y cambiar parámetros, como por ejemplo, los de WAN o LAN.

Este método ha resultado demasiado sencillo y que era ya conocido por muchos usuarios. No obstante, nunca hay que pensar que cualquier dispositivo que tenga un mínimo de configuración, ya venga con el máximo nivel de seguridad que este permita, y que somos los usuarios quienes debemos adoptar las medidas oportunas y que tengamos a mano para minimizar un posible problema.

Una recomendación es acceder como administrador y cambiar las claves de admin, user y support. En el caso de que alguna vez la operadora deba realizar el soporte remoto, antes, volver a cambiar la clave de support por la de defecto.

Recordar que las claves Wifi, también es conveniente cambiarlas de vez en cuando y usando claves que sean difíciles de descifrar como por ejemplo con utilidades como ESTA.

Se puede pensar que este bug no es muy importante, ya que si no se tiene el control en local, no puede pasar nada.

Ahora imaginemos que dejamos la Red Wifi abierta o se crakea la clave Wifi. Se tiene acceso al módem/router de manera que sería posible manipular desde la configuración WAN, la LAN, Wifi, etc. desde la cuenta de user.

Este artículo no se basa solo en el Comtrend HG536+, sino en todos los módem/router que usen firmwares con la misma base que este usa, que son unos cuantos.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    6

    Vamos a ver, cualquiera que tenga acceso a tu LAN te puede…

    Vamos a ver, cualquiera que tenga acceso a tu LAN te puede fastidiar la red. En lo que realmente hay que hacer hincapié es en proteger bien el wifi, lo demás me parece un poco "acojonar" a la gente...

    Si tienen acceso a tu LAN, aunque hayas cambiado todo los password te los pueden averiguar igual.

    Simplemente hacer ver que es muy importante evitar que cualquiera se conecte a tu LAN, porque no sólo te pueden reconfigurar el router (uuuuh, qué miedo) sino ver archivos personales tuyos...

  • Donovan-rtnx2, Personalmente este tipo de trucos y…

    Donovan-rtnx2,

    Personalmente este tipo de trucos y curiosidades, aunque tal y como tu indicas, no es un defecto muy importante del router, pero se agradecen y en cierto modo se disfrutan bastante de ellas, por ello, tal y como otros usuarios hace, te damos las gracias, pero...

    queria preguntarte que version del firmware tienes instalado en el router con el que has echo las pruebas, y me explico.

    Mi situacion actual es que, tengo dicho router con la contraseña que venía por defecto modificada, aunque el nombre de usuario sigue siendo "admin".

    Cuando llego al apartado que indicas, en mi codigo fuente no aparece lo que tu expones. Por ello te pregunto el tipo de firmware que tienes, porque yo estoy utilizando la ultimisima version, descargada, como no, de Bandaancha, que es la R21.

    ¿Sera quizas que en la ultima actualizacion de las tripas del aparato, este pequeño desajuste viene corregido?.

    Recibe un cordial saludo.

      • BocaDePez BocaDePez
        6

        En el firmware de Telefónica no hay problema porque no tiene…

        En el firmware de Telefónica no hay problema porque no tiene esos usuarios alternativos "user" y "support"... sólo el "admin" que en su caso es el "1234". Si cambias el password por defecto ya no pueden entrar a ninguna página (a menos que sepan ese password).

        • BocaDePez BocaDePez
          6
          Yo tengo jazztel actualmente, antes tenia telefonica, y como…

          Yo tengo jazztel actualmente, antes tenia telefonica, y como el router que me dio jazztel era exactamente el mismo que ya tenia, tan solo le cambié los parametros para poder utilizarlo, y puedo asegurar que le ocurre lo mismo que al de jazztel, se ven perfectamente los passwords.

        • BocaDePez BocaDePez
          6
          Vale gracias, pensaba que sería posible subir la velocidad un…

          Vale gracias, pensaba que sería posible subir la velocidad un poco o algo así xD

          Ya tenía cambiada la contraseña, a parte de que no es 1234 el usuario, es "root". Instalé hace tiempo otro firm, será por eso.

      • Lo dice en el artículo. Alguien desde dentro de tu red,…

        Lo dice en el artículo. Alguien desde dentro de tu red, habiendo entrado porque la WiFi está abierta o porque haya sacado la clave, o pinchando en el cable de red, podría reconfigurar el router para su beneficio, abriendo puertos o incluso cambiando la clave para que tú no puedas gestionarlo.

    • En la segunda captura podéis ver la versión. Efectivamente,…

      En la segunda captura podéis ver la versión. Efectivamente, es la R21. ;)

      Los nombres de usuario no se pueden cambiar, al menos desde el menú de administración, cosa que con otros si es posible.

      Si no lo visualizas, es que quizás haya algo que no se hace correctamente.

      Saludos.

          • BocaDePez BocaDePez
            6
            desde el menu tambien se puede acceder a dicha informacion,…

            desde el menu tambien se puede acceder a dicha informacion, al menos desde firefox

            pinchas boton derecho/este marco/ver codigo fuente de este marco

            y sale perfectamente el codigo que se muestra en la noticia

            un saludo

            INDUMA

    • Yo también tengo la R21 y me sale como dice Donovan. Cambia…

      Yo también tengo la R21 y me sale como dice Donovan. Cambia las contraseñas de user y de support. Desde esa misma página se puede, con los privilegios de "user".

      Antes Fiesty, luego Gusty, después Hardy... no me extraña que la llamen la distro porno.

  • 6

    Es una pena, por no decir otra cosa, que después de tanto…

    Es una pena, por no decir otra cosa, que después de tanto tiempo sabiendo de este fallo (cuando yo me registré en la página, hace más de cuatro años, los usuarios del foro de Jazztel ya hablaban de esto ) no se haya hecho nada, ni por parte de Comtrend ni de otros fabricantes cuyos equipos tienen este mismo problema de seguridad.

    Se ha estado hablando aquí, en otros lugares, supongo que se ha avisado por activa y por pasiva a los fabricantes y seguimos igual que hace x años.

    Esperemos que este sea el empujón definitivo para que se tomen medidas. Lo dudo pero..

    Saludos

    • BocaDePez BocaDePez
      6

      el fallo como tu dices mas bien parece que telefonica no lo…

      el fallo como tu dices mas bien parece que telefonica no lo tiene quizas le hicieron una modificacion que jaztell no les ha hecho a los suyos

      saludos

    • BocaDePez BocaDePez
      6

      No pasa porque no hay "user" ni "support". Sólo pueden entrar…

      No pasa porque no hay "user" ni "support". Sólo pueden entrar si saben el auténtico password de "administrador", en tu ccaso el 1234. Cambia el que viene por defecto y ya está.

        • BocaDePez BocaDePez
          6
          el de telefonica no tiene esos tres usuarios, solo tiene el…

          el de telefonica no tiene esos tres usuarios, solo tiene el admin con control total, no esta capado como el de jaztell

          lo he comprobado ahora mismo, si aparece el codigo fuente igual pero las pass y user no funcionan, solo el user 1234 con la pass que se le tenga.

          de todas formas si alguien sabe algo mas del router de telefonica que lo diga para corregirlo

          saludos

    • Pero igual no el mismo firmware. Si lo tienes comprueba si se…

      Pero igual no el mismo firmware. Si lo tienes comprueba si se pueden ver los passwords y lo pones aquí.

      Antes Fiesty, luego Gusty, después Hardy... no me extraña que la llamen la distro porno.

    • BocaDePez BocaDePez
      6

      No es necesario eso cerrar la wifi. Si te das cuenta, para…

      No es necesario eso cerrar la wifi. Si te das cuenta, para explotar el fallo hay que entrar con uno de los tres usuarios. Lógicamente, si cambiaste la contraseña de admin pero no las otras, se podrá acceder. Basta con cambiar los password de user, support y admin por otros y ya nadie podrá aprovechar esa vulnerabilidad.

  • BocaDePez BocaDePez
    6

    Y esto sucede en todos los contrend, en lo relativo a la…

    Y esto sucede en todos los contrend, en lo relativo a la pagina password. Si no hacer la prueba. Yo en el mio de tesau, un 5361, pasa mas de lo mismo.

    Un saludo.

  • Fenomenal aporte, compañero :) :) La lástima es que yo tengo…

    Fenomenal aporte, compañero :) :)
    La lástima es que yo tengo ONO, y no puedo probar ese "truquillo", pero seguro, que a los usuarios que dispongan de ese router, o uno similar, les es de una gran utilidad :)
    Un saludo compi :)
    PD: Tengo que mandarte un regalito por mail, pero...., tengo que mejorar algunas cosillas antes de mandárdelo. En cuanto lo tenga te lo mando ;)

  • BocaDePez BocaDePez
    6

    Yo creo que desde hace siglos se sabe que para acceder al…

    Yo creo que desde hace siglos se sabe que para acceder al comtrend el nombre es ADMIN y la contraseña ADMIN.

    Vamos, que yo creo que apenas nadie usa USER/USER SUPPPORT/SUPPORT.

    Y si... todo el mundo usa ADMIN/ADMIN todos saben acceser a esa pagina

    No le veo sentido a hacer-> Ver codigo fuente.... Si ya sabes la contraseña, solo te pide la vieja (que ya sabes y no necesitas ve el codigo fuente, pues has entrado con esa contraseña ADMIN/ADMIN) y colocas la nueva que te de la gana.

    • Claro, pero si alguien accede por ejemplo, a través de Wifi,…

      Claro, pero si alguien accede por ejemplo, a través de Wifi, ya sea porque dejas la Red abierta o porque 'sacan' la clave del Wifi, al menos que no puedan acceder a la administración de tu módem/router, no?. Está claro que dejar las que vienen por defecto es lo mismo que no poner contraseña si solo se accede en local y lo va a usar una sola persona.

      Test de velocidad y rendimiento: ADSL, cable y móvil
      Test de velocidad ADSL cable y movil LineBenchmark
      Versión para ANDROID

  • BocaDePez BocaDePez
    6

    ¿Y desde Jazztel no ha hecho ningún comentario al respecto?…

    ¿Y desde Jazztel no ha hecho ningún comentario al respecto? Podrían al menos avisar a sus clientes.

  • [Editado Josh 24/10/09 19:30]

    BocaDePez BocaDePez
    6

    El enlace que has puesto de aircrack dice que abre wpa, es…

    El enlace que has puesto de aircrack dice que abre wpa, es verdad? pero lo hace por diccionario o puede descifrar claves alfanumericas de mas de 20 digitos? Me cago en to como sea asi

    • Creo que es a través de un diccionario con las claves que…

      Creo que es a través de un diccionario con las claves que ponen por defecto las operadoras. O por lo menos era así hará cosa de medio año cuando estuve interesándome en el asunto.

      Antes Fiesty, luego Gusty, después Hardy... no me extraña que la llamen la distro porno.

  • BocaDePez BocaDePez
    6

    Confirmado en USR9108 con Firmware 1.5. De hecho es que se…

    Confirmado en USR9108 con Firmware 1.5.

    De hecho es que se puede acceder a cualquier sección de la configuración del router desde cualquiera de la cuentas con tan solo poner la url correspondiente en el navegador.

    Siniestro cuando menos.

  • BocaDePez BocaDePez
    6

    Increible, esto se parece al agujero negro del CERN... lo…

    Increible, esto se parece al agujero negro del CERN...

    lo curioso es que si cambias la contraseña desde esa venta la nueva contraseña es enviada mediante GET y por supuesto en texto plano...

    Joder, y luego me hablaban de la programación elegante, menuda chapuza...

  • Gracias

    Gracias, ya tengo cambiadas las contraseñas de los dos accesos restantes. Me parece un fallo importante, espero que lo solucionen en un próximo firmware.

    Antes Fiesty, luego Gusty, después Hardy... no me extraña que la llamen la distro porno.

1