Se han detectado escaneos activos originados en una IP de Telefónica en busca de routers de Orange que responden a las peticiones HTTP a /get_getnetworkconf.cgi con el nombre SSID de la red WiFi y su contraseña en texto plano. Se da la circunstancia que en la mayoría de casos la clave WiFi también lo es de la administración del router, lo que permite acceder a el y cambiar la configuración.
De las algo más de 30.000 IPs analizadas, 19.000 respondian con esta información.
De los creadores de "CGNAT no ofrece seguridad alguna", toma 918320198:
badpackets.net/over-19000-orange-livebox…credentials/
On Friday, December 21, 2018, our honeypots observed an interesting scan consisting of a GET request for /get_getnetworkconf.cgi. Upon further investigation, we found this traffic was targeting Orange Livebox ADSL modems. A flaw exists in these modems that allow remote unauthenticated users to obtain the device’s SSID and WiFi password.
[...]
Unsurprisingly, the vast majority of affected devices were found to be on the network of Orange Espana (AS12479).