BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL/VDSL

Backdoor para obtener la clave de admin en el router Amper ASL 26555 de Movistar

Josh
1

El router Amper ASL 26555, que distribuye Movistar con el nombre de HomeStation, proporciona, mediante una simple llamada HTTP, los credenciales de administrador a cualquiera que tenga acceso a la red local.

Además de la interfaz de administración de Movistar, ubicada en el puerto 80, el router escucha en el 8.000, donde ofrece la interfaz nativa del fabricante. Esta está protegida por autentificación, excepto en un directorio ubicado en /APIS/.

Dentro de este directorio podemos llamar a diferentes URLs que devolverán parámetros de estado del router en formato JSON. Una de ellas, ubicada en 192.168.1.1:8000/APIS/returnJSON.htm, devuelve en texto plano y sin más preámbulos, el usuario administrador y su clave.

Aunque la configuración por defecto del router impide acceder al interfaz de administración desde el exterior, cualquier usuario conectado a la red local puede ganar acceso al router utilizando este método.

El descubridor de la vulnerabilidad cree que puede ser un backdoor o puerta trasera puesta intencionadamente por el fabricante para realizar diagnósticos.

(link roto)

BocaDePez
BocaDePez
-5
🗨️ 1
BocaDePez
BocaDePez
-1
vukits

En mis tiempos, a los backdoors se accedía mediante telnet...

ay señor, señor... ya ni hace falta usar linea de comandos...

BocaDePez
BocaDePez
-2

¿Y por qué pensáis que es una backdoor cuando puede ser simplemente algo de debugging que se han dejado puesto sin querer?

🗨️ 11
heffeque
1

Supongo que sería sin querer, lo que no quiere decir que deje de ser, por definición, un backdoor (una puerta de entrada al dispositivo no visible/documentada oficialmente).

spud

Seguramente sea un despiste en la release del fabricante, y sobretodo un despiste en el proceso de certificación de los routers de movistar. Según los últimos requisitos de Movistar este tipo de accesos no están permitidos.

🗨️ 5
NetSpot

¿Dónde se pueden leer esos requisitos?

🗨️ 4
spud

Me temo que solo se los facilitan a los fabricantes de routers.

🗨️ 3
NetSpot
🗨️ 2
spud
🗨️ 1
NetSpot
BocaDePez
BocaDePez

Facil, porque habiendo yo trabajado en Telefonica, se que ponen backdoors en el software de sus clientes/proveedores para subir actualizaciones, parches, etc. sin que el cliente se entere: el cliente contrata algo que debe estar acabado en un tiempo, normalmente no se acaba ni de coña... se le entrega al cliente una mierda que funciona parcialmente, y entre que se da cuenta y no, se le sube la actualizacion con los fallos conocidos ya corregidos a sus servidores via backdoor, sin que el cliente se entere claro, de esta forma evitan tener que pagar penalizaciones, compensaciones economicas por el retraso, etc. El cliente jamas se entera claro.

Llevan haciendolo años... y si alguien no se lo cree, me la pela, no hay mas ciego que el que no quiere ver.

🗨️ 3
BocaDePez
BocaDePez

Lo mismo pasa con los teléfonos móviles, en ese caso, es causa de un mercado en el que se exigen productos nuevos cada vez en menos tiempo.

BocaDePez
BocaDePez

Espero que te la pele, pero no me lo creo. ¿Para que voy a poner una puerta trasera en un router cuando es es de alquiler? (osea, propiedad de la compañía que te proporciona el ADSL).

Y, respecto a los teléfonos móviles, el 90% de los usuarios pierden el culo por ponerle un firmware nuevo que (teóricamente) aumente la batería, o que permita hacer un cortar y pegar, y de paso te instalan chorrocientas actualizaciones de seguridad.

spud

Eso se hace por tr069. Y no es ningún backdoor. Otra cosa es que el cliente no sepa lo que tiene entre manos.

Si no quieres que telefónica toque el router que tienes en casa, cómprate uno propio.

BocaDePez
BocaDePez

En teoria si no tienes activado el TR-069 Client, no deberia haber mayor problema ¿no?.

🗨️ 6
spud

No tiene absolutamente nada que ver una cosa con la otra.

🗨️ 5
BocaDePez
BocaDePez

Entonces, hay alguna forma de bloquear ese problema?.

🗨️ 4
NetSpot
1

Regla en el firewall muy simple. Bloquear y/o alertar de todo acceso a la IP del router.

spud

En principio solo afecta a las conexiones desde la propia Lan, por lo que el atacante debería tener acceso a ella.

No tengo el router delante, pero habría varias formas:

1. Editando el firmware y eliminando los htm vulnerables.

2. Parando el servicio BOA que carga el directorio afectado. El router arranca dos servicios BOA, uno con la interfaz de Telefonica y otro con la interfaz del fabricante. Si no me equivoco, el directorio APIS está en la interfaz de teléfonica. Parando el servicio boa correspondiente se solucionaria. El problema es que al reiniciar volvería a ser vulnerable.

3. Editando las reglas firewall del router y bloqueando el acceso al puerto donde está escuchando el BOA vulnerable.

🗨️ 2
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Hola: Pues hay un caso en que parece posible obtener las claves desde el exterior al router: Me he dado de alta en un servicio de "DNS dinámico" (Dynamic Dns) con el dominio de "pruebas.dyndns.org" y "voila" aparecen las claves: $ curl (link roto) y se obtienen la claves. NOTA: La prueba la he realizado desde mi propia red local, no sé si desde otra red externa a la mía funcionará.. pero me temo que si. El lunes lo probaré. CONSEJO: DE MOMENTO NO USAR SERVICIOS DE "DYNAMIC DNS" PARA ACCEDER A NUESTRA RED LOCAL, PC, ETC. CON EL ROUTER AMPER ASL-26555 DE TELEFÓNICA. Desde telnet es posible modificar la apertura/cierre del puertos con "iptables", pero el problemas es que cuando se reinicia el router se pierde la configuración. ¿Alguien sabe como se modifican la reglas del firewall del "mencionado" router desde el panel avanzado y que el cambio sea permanente?. GRACIAS.