BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Imposible desactivar WPS en Livebox Fibra

BocaDePez
BocaDePez

Buenas noches:

Llevo varios días comprobando que, efectivamente, aunque en la página de configuración del router desactives WPS, el botón continúa funcionando perfectamente cada vez que se quiere enlazar un dispositivo con el router en modo WPS. El fallo de seguridad es notorio, porque ya he comprobado que existe una aplicación por Android que se permite conectar con los routers Arcadyan de este modelo, usando el pin WPS por defecto.

En definitiva, lo que solicito es que, por favor, se comunique al Soporte Técnico de Orange para que corrijan este agujero de seguridad y parcheen correctamente el firmware del Router Arcadyan Livebox Fibra, el que trae ONT integrado. Ni se puede desactivar WPS ni tampoco se puede modificar el PIN WPS asignado por defecto al router, ni en 2,4 Ghz ni en 5 Ghz.

Muchas gracias y un saludo.

BocaDePez
BocaDePez

¿Y si desactivas WPS en el menú sigue funcionando el WPS PIN? Hay que recordar que solo el PIN tiene un fallo de seguridad, el WPS pulsando el botón sigue siendo totalmente seguro.

BocaDePez
BocaDePez

Si desactivo WPS en el menú de configuración (pestaña Wi-Fi/Wi-Fi principal/Emparejado por Wps desactivado), continúa funcionando el PIN WPS por defecto. Lo he comprobado varias veces. Si a alguien más le pasa por favor que lo confirme para que en Orange parcheen los routers, porque es un fallo importante de seguridad.

apocalypse

Seguramente solo funciona el botón WPS y no el pin. El botón es completamente seguro, nadie se puede conectar si no es pulsado, y si diera la gran casualidad que al pulsarlo y abrir la "ventana de emparejamiento" alguien lo usara antes que tú te darías cuenta porque tu dispositivo no se conectaría.

Fsociety00dat

Ojala nos hagan caso, y también un parchecito rico para que no tengamos microcortes porque vaya tela... Y ahora también, por lo menos a mi, se me cae a las 0:00 - 3:00 y 6:00 Pésimo...

BocaDePez
BocaDePez

que te crees que se van a mover para arreglarlo.

todas ips tienen fallos de seguridad con sus routers, por eso los regalan, son un coladero, si fuesen seguros no estariamos pagando lo que pagamos por las conexiones.

BocaDePez
BocaDePez

Bueno yo creo que hay una manera, hay una IP de gestión web del wifi, los de lafibra.info la encontraron, pero les ha caducado el dominio como el año pasado y se ha quedado sin renovar.

Cuando pueda buscaré por caches.

🗨️ 1
Tech

Si te refieres a lo que se comenta aquí, es lo mismo que comenté más arriba. Además de que lo puse yo en lafibra.info.

vukits

mientras se solucione, desactiva el WIFI y usa un AP (un router wifi cualquiera)

Le dejas la boca wan libre.

Le pones lan ip 192.168.1.253, le desactivas dhcp y upnp, y ya está.

Tech
2

Confirmo que me pasaba. De hecho, les escribí un Tweet quejándome, pero sirvió de poco.

Desactivando el WPS desde 192.168.1.1 era como no hacer nada, lo peor de todo es que descubrí como entrar a la interfaz 5G (hecha por Quantenna), se entra desde 1.1.1.2, en ese mismo panel al desactivar el WPS tampoco hacía nada.

Es una pena que el Livebox Fibra esté tan mal hecho (en cuanto a software), el hardware parece bueno, pero si no se esmeran un poco en hacer algo decente de poco sirve.

Al final, como no me vinieron a buscar los equipos de la NEBA (ONT + Livebox 2.2), he acabado poniendo un ASUS. De manera que tengo [ONT + ASUS + Livebox solo como ATA]

Adjunto unas capturas que tengo de cuando vi que el WPS no se desactivaba.

c-qdneaw0ae-gtb.jpg c-qdopewaaewowe.jpg

🗨️ 17
BocaDePez
BocaDePez

Una curiosidad, cual de los 2 livebox estás usando sólo como adaptador ATA, el 2.2 ó el fibra?

Un saludo.

🗨️ 4
BocaDePez
BocaDePez

¿Cuál es el Livebox 2.2?

🗨️ 2
BocaDePez
BocaDePez

www.google.es -> livebox 2.2

🗨️ 1
BocaDePez
BocaDePez
Tech

El 2.2, con el Livebox Fibra es imposible.

pepejil

Una cosa es que la baliza muestre que WPS esté disponible y otra que WPS mediante PIN esté activado. En el momento que puedas asociar dispositivos con WPS via botón, la red va a señalar que tiene WPS activado igualmente.

Eso ya me ha pasado con varios routers, pero la vulnerabilidad WPS está en el PIN, no en un botón físico, puesto que esto último necesitas tener acceso al router fisicamente para asociar un dispositivo en él.

🗨️ 4
vukits

hay quién considera un botón una vulnerabilidad, también .

sobre todo en una PYME

🗨️ 2
BocaDePez
BocaDePez

Una PYME debería de abstenerse de usar routers como el Livebox, pensados para un entorno doméstico. Hay multitud de routers de ese segmento que no permiten desactivar WPS por botón.

🗨️ 1
vukits
Tech

El problema es que no se desactiva, no hace nada.

Ramgo

WPS desactivado.

Quantenna
🗨️ 5
Tech

Lo has desactivado en ambas bandas o solo en la 5GHz?

🗨️ 3
Ramgo

Queda desactivado en ambas bandas, lo he probado.

🗨️ 1
Tech
Ramgo

He comunicado el bug en mi caso al soporte técnico de Jazztel con el cual he hecho pruebas conjuntas para que comprobaran que dicho fallo de seguridad es totalmente real y grabe. En principio me han dicho que darán parte, me han dado las gracias por la colaboración, ahora habrá que esperar a ver si hacen algo al respecto, ya que se puede entrar en todos Livebox Fibra que este configurados por defecto.

Ramgo

Para desactivarlo hay que pulsar en el botón físico del Wi-Fi y mientras hace el proceso de apagado o encendido del Wi-Fi, en el interfaz de Quantenna Communications en WPS State seleccionamos Disabled y a continuación pulsamos Save y listo deja cambiar el estado del WPS. Lo malo es que si el router se queda sin luz hay que volver hacer el procedimiento ya que vuelve al estado Config.

BocaDePez
BocaDePez

Yo he estado investigando un poco el fallo del WPS, por lo visto solo afecta a la controladora wifi de 5Ghz y por lo menos desde el interfaz de Quantenna(1.1.1.2) se puede cambiar el PIN.

traspistado

Corroboro lo expuesto, no se desactiva realmente el WPS y con una APP movil, sin necesidad de ser root me puedo conectar a mi livebox fibra sin mayores problemas.

Ramgo

Este tema ya ha sido solucionado en agosto y ya se puede apagar el WPS desde el interfaz.

Arfonzo

A fecha de hoy (07/12/2020) no se puede desactivar el WPS desde la interfaz.