Fibra

Imposible desactivar WPS en Livebox Fibra

BocaDePez 17 julio 2017 22:46

⋮

Buenas noches:

Llevo varios días comprobando que, efectivamente, aunque en la página de configuración del router desactives WPS, el botón continúa funcionando perfectamente cada vez que se quiere enlazar un dispositivo con el router en modo WPS. El fallo de seguridad es notorio, porque ya he comprobado que existe una aplicación por Android que se permite conectar con los routers Arcadyan de este modelo, usando el pin WPS por defecto.

En definitiva, lo que solicito es que, por favor, se comunique al Soporte Técnico de Orange para que corrijan este agujero de seguridad y parcheen correctamente el firmware del Router Arcadyan Livebox Fibra, el que trae ONT integrado. Ni se puede desactivar WPS ni tampoco se puede modificar el PIN WPS asignado por defecto al router, ni en 2,4 Ghz ni en 5 Ghz.

Muchas gracias y un saludo.

BocaDePez 17 julio 2017 23:21

⋮

¿Y si desactivas WPS en el menú sigue funcionando el WPS PIN? Hay que recordar que solo el PIN tiene un fallo de seguridad, el WPS pulsando el botón sigue siendo totalmente seguro.

BocaDePez 17 julio 2017 23:33

⋮

Si desactivo WPS en el menú de configuración (pestaña Wi-Fi/Wi-Fi principal/Emparejado por Wps desactivado), continúa funcionando el PIN WPS por defecto. Lo he comprobado varias veces. Si a alguien más le pasa por favor que lo confirme para que en Orange parcheen los routers, porque es un fallo importante de seguridad.

apocalypse 18 julio 2017 01:43

⋮

Seguramente solo funciona el botón WPS y no el pin. El botón es completamente seguro, nadie se puede conectar si no es pulsado, y si diera la gran casualidad que al pulsarlo y abrir la "ventana de emparejamiento" alguien lo usara antes que tú te darías cuenta porque tu dispositivo no se conectaría.

Fsociety00dat 18 julio 2017 01:46

⋮

Ojala nos hagan caso, y también un parchecito rico para que no tengamos microcortes porque vaya tela... Y ahora también, por lo menos a mi, se me cae a las 0:00 - 3:00 y 6:00 Pésimo...

BocaDePez 18 julio 2017 08:44

⋮

que te crees que se van a mover para arreglarlo.

todas ips tienen fallos de seguridad con sus routers, por eso los regalan, son un coladero, si fuesen seguros no estariamos pagando lo que pagamos por las conexiones.

BocaDePez 18 julio 2017 09:03

⋮

Bueno yo creo que hay una manera, hay una IP de gestión web del wifi, los de lafibra.info la encontraron, pero les ha caducado el dominio como el año pasado y se ha quedado sin renovar.

Cuando pueda buscaré por caches.

✖

Tech 1 agosto 2017 15:37

⋮

Si te refieres a lo que se comenta aquí, es lo mismo que comenté más arriba. Además de que lo puse yo en lafibra.info.

vukits 18 julio 2017 12:05

⋮

mientras se solucione, desactiva el WIFI y usa un AP (un router wifi cualquiera)

Le dejas la boca wan libre.
Le pones lan ip 192.168.1.253, le desactivas dhcp y upnp, y ya está.

Tech 19 julio 2017 00:54

⋮

Confirmo que me pasaba. De hecho, les escribí un Tweet quejándome, pero sirvió de poco.

Desactivando el WPS desde 192.168.1.1 era como no hacer nada, lo peor de todo es que descubrí como entrar a la interfaz 5G (hecha por Quantenna), se entra desde 1.1.1.2, en ese mismo panel al desactivar el WPS tampoco hacía nada.

Es una pena que el Livebox Fibra esté tan mal hecho (en cuanto a software), el hardware parece bueno, pero si no se esmeran un poco en hacer algo decente de poco sirve.

Al final, como no me vinieron a buscar los equipos de la NEBA (ONT + Livebox 2.2), he acabado poniendo un Asus. De manera que tengo [ONT + Asus + Livebox solo como ATA]

Adjunto unas capturas que tengo de cuando vi que el WPS no se desactivaba.

✖

BocaDePez 19 julio 2017 10:28

⋮

Una curiosidad, cual de los 2 livebox estás usando sólo como adaptador ATA, el 2.2 ó el fibra?

Un saludo.

✖

BocaDePez 19 julio 2017 10:36

⋮

¿Cuál es el Livebox 2.2?

✖

BocaDePez 19 julio 2017 15:28

⋮

www.google.es -> livebox 2.2

✖

BocaDePez 19 julio 2017 22:53

⋮

Tech 19 julio 2017 11:31

⋮

El 2.2, con el Livebox Fibra es imposible.

pepejil 19 julio 2017 16:08

⋮

Una cosa es que la baliza muestre que WPS esté disponible y otra que WPS mediante PIN esté activado. En el momento que puedas asociar dispositivos con WPS via botón, la red va a señalar que tiene WPS activado igualmente.

Eso ya me ha pasado con varios routers, pero la vulnerabilidad WPS está en el PIN, no en un botón físico, puesto que esto último necesitas tener acceso al router fisicamente para asociar un dispositivo en él.

✖

vukits 19 julio 2017 18:45

⋮

hay quién considera un botón una vulnerabilidad, también .

sobre todo en una PYME

✖

BocaDePez 19 julio 2017 23:36

⋮

Una PYME debería de abstenerse de usar routers como el Livebox, pensados para un entorno doméstico. Hay multitud de routers de ese segmento que no permiten desactivar WPS por botón.

✖

vukits 21 julio 2017 16:41

⋮

Tech 20 julio 2017 22:21

⋮

El problema es que no se desactiva, no hace nada.

Fsociety00dat 19 julio 2017 20:04

⋮

Como lo has descubierto?

Ramgo 1 agosto 2017 15:36

⋮

WPS desactivado.

✖

Tech 1 agosto 2017 15:38

⋮

Lo has desactivado en ambas bandas o solo en la 5GHz?

✖

Ramgo 1 agosto 2017 16:00

⋮

Queda desactivado en ambas bandas, lo he probado.

✖

Tech 1 agosto 2017 16:08

⋮

Ramgo 1 agosto 2017 16:06

⋮

He comunicado el bug en mi caso al soporte técnico de Jazztel con el cual he hecho pruebas conjuntas para que comprobaran que dicho fallo de seguridad es totalmente real y grabe. En principio me han dicho que darán parte, me han dado las gracias por la colaboración, ahora habrá que esperar a ver si hacen algo al respecto, ya que se puede entrar en todos Livebox Fibra que este configurados por defecto.

Ramgo 1 agosto 2017 15:59

⋮

Para desactivarlo hay que pulsar en el botón físico del Wi-Fi y mientras hace el proceso de apagado o encendido del Wi-Fi, en el interfaz de Quantenna Communications en WPS State seleccionamos Disabled y a continuación pulsamos Save y listo deja cambiar el estado del WPS. Lo malo es que si el router se queda sin luz hay que volver hacer el procedimiento ya que vuelve al estado Config.

BocaDePez 24 julio 2017 11:11

⋮

Yo he estado investigando un poco el fallo del WPS, por lo visto solo afecta a la controladora wifi de 5Ghz y por lo menos desde el interfaz de Quantenna(1.1.1.2) se puede cambiar el PIN.

traspistado 30 julio 2017 13:40

⋮

Corroboro lo expuesto, no se desactiva realmente el WPS y con una APP movil, sin necesidad de ser root me puedo conectar a mi livebox fibra sin mayores problemas.

Ramgo 1 octubre 2017 11:05

⋮

Este tema ya ha sido solucionado en agosto y ya se puede apagar el WPS desde el interfaz.

Arfonzo 7 diciembre 2020 13:32

⋮

A fecha de hoy (07/12/2020) no se puede desactivar el WPS desde la interfaz.