miércoles, octubre 03, 2012

ONO: La insegura estructura de la red de clientes

Por eso de que como a muchos de vosotros me preocupa mi seguridad, desde hace tiempo vengo estudiando las distintas redes de operadores de internet (ISP) nacionales, así como sus dispositivos, y estructuras de conexión de las que soy usuario. No tardé en empezar a darme cuenta de las flaquezas en dichos sistemas y fue por ello que he empezado a escribir distintos artículos sobre diversas vulnerabilidades encontradas en aquellos que me ofrecen servicio de manera insegura, ya sea por hacerlo con sistemas que tienen vulnerabilidades conocidas o por una mala arquitectura de las redes. Tal vez así nos lleguen a brindar un servicio de mayor calidad y con unas mínimas garantías de calidad y seguridad.

El primer artículo trató sobre algunos proveedores, sobre todo de la costa azul, que ofrecen sus servicios mediante enlaces inalámbricos sobre banda licenciada en 2.4 o 5 Ghz. Le pedí al gran Chema Alonso, del que soy fiel seguidor, que debido a mi poco poder mediático a ver si podía hacerme un hueco en su blog, pues después de contactar con distintos operadores para que lo solucionasen - y tras varios meses  - nadie había puesto solución a ello. Él accedió, y gracias a eso muchos de esos proveedores rectificaron sus políticas en este aspecto, aunque he decir que todavía a día de hoy muchos que no lo han solucionado. Recomiendo a los responsables de la AGPD (Agencia de Protección de Datos) y a los del CMT (Comisión del Mercado de las Telecomunicaciones en España) echar un ojo a dicho artículo:
- AirOS vulnerables: ISPs sin actualizar en España
Hoy quiero hablar de otro operador bien conocido, nuestro querido ONO. Desde hace unos 9 años soy cliente de dicho operador, aunque he de confesar que también estuve unos 3 años con servicios gratuitos gracias a nuestras queridas direcciones MAC y un modem con Sigma que modifiqué hace unos cuantos años y que todavía tengo. Eso sí, esto era cuando con 17 años no tenía ni un duro y mis padres solo tenían la TV pública :-).

Fallos conocidos de la red de ONO

No voy a explicar cómo está estructurada una red HFC como la de ONO o qué equipos CMTS usan, pues para eso os remito a la Wikipedia para que comprendáis un poco el funcionamiento de dichas redes si te faltase algún conocimiento para entender bien el proceso del artículo - que también tiene que ver con el funcionamiento de Ethernet.

Desde hace ya mucho tiempo es conocido que es posible escanear direcciones MAC de los clientes que se encuentran bajo el mismo nodo con cualquier aplicación como nmap, hping, etc... sólo poniendo el router en modo “bridge” o mediante algún otro dispositivo como Mikrotik o lo que sea. Con este último yo he realizado esta prueba consiguiendo no solo ver las direcciones MAC de equipos en mi mismo rango de direcciones IP sino de otros rangos cercanos, y esto nos da una pequeña idea ya de cómo puede estar implementada la red.

Otro punto de ineficacia son los modems que montan. Muchos de sus modems son accesibles por defecto por SSH o Telnet con las contraseñas también por defecto a través de la dirección IP pública, cuando debería estar limitado a la dirección IP privada. En una auditoria de seguridad que realicé a una empresa de mi amada ciudad “León”, donde más o menos tenían un nivel bueno de protección bajo las pruebas que realizamos, al final se encontraron con todo su tráfico redirigido a nuestra web corporativa a través de un ataque contra los DNS gracias a las configuraciones de ONO, lo que nos hizo ganarnos varias medallas por la auditoría.

Figura 1: Accediendo a un modem ONO con usuario y password por defecto

El suceso que motivó todo

Pero lo último ha sido mucho más divertido. Resulta que probando un software de VoIP (3CX), me dispuse a montar montar un dominio completo bajo Windows Server 2008 R2. Cuando tenía el dominio montado me puse a configurar un servidor DHCP para la telefonía, porque quería probar el aprovisionamiento automático de los teléfonos en dicho software, y en cuanto levante el servicio “flipé en colores”. Resulta que un equipo me había solicitado un dirección IP y yo no tenía conectado nada todavía al switch. Lo primero que pensé fue que algún espabilado me había trincado la WiFi de pruebas, pero ¿cómo me iban a romper algo del tipo WPA2-AES “ocke9u3iafa0c4bio84@@@2ompd”? Tenía que haber otra explicación.

Figura 2: El cliente que se coló en el servidor DHCP

Para resolver el misterio me puse con Wireshark a ver que estaba pasando por mi laboratorio, y pude ver un montón de paquetes de tipo IGMP, solicitudes DHCP, etcétera de redes que no eran la mía. El culpable era el modem, que por algún motivo no filtraba o bloqueaba el tráfico broadcast y algún otro, que venía del puerto “WAN” - por llamarlo de alguna forma para que nos entendamos-.

Figura 3: Tráfico no esperado de IGMP en Wireshark

¿Qué estaba pasando realmente?

Lo primero que hice fue lanzar un escaneo a éste equipo tan gracioso que había atravesado mi modem robándome una dirección IP, y todos los puertos aperecían filtrados o cerrados, menos el puerto 80. En cuando lo puse en mi navegador ¡Sorpresa!: Un portal de configuración para un Hitron CDE-30386.

Figura 4: El portal de administración de Hitron

El tema estaba en que para mi red interna, justo detrás del modem, me puse el rango de direcciones IP 10.10.X.0/24 sin servidor DHCP, y resulta que este rango lo emplea ONO en alguna subred desde algún CMTS para entregar el archivo de configuración vía TFTP, enrutar el tráfico de los modems de ese rango, etcétera. Por explicarlo fácilmente, es una subred de ONO que permite la gestión y administración de los modems, y que es "supuetamente" transparente para los clientes.

¿Y si se escanea todo el un rango como 10.0.0.0/8?

Pues a eso me fui, y ¡madre mía!. Resulta que podía llegar a miles de routers de clientes dispersos por toda España. Si entraba en cualquiera de ellos y miraba su dirección IP pública, y luego intentaba entrar a través de ella, el modem no me dejaba. Tras analizar este comportamiento llegué a la conclusión de que es un subred de ONO que se utiliza para gestión y soporte, y todos los modems vienen preparados para permitir el acceso desde esa red sin ninguna restricción al puerto 80. Además, después de haber creado un pequeño programa en Java que me analizó todos los modems que encontré en 10.0.0.0/8, un 90% de ellos tenían la password por defecto.

Esta es gordísima...

Resulta que analizando las direcciones IP públicas de los modems y haciendo un whois, podía ubicar donde estaba aproximadamente ese router, y así elaborar una lista de cada una de la subredes encontradas en el rango 10.0.0.0/8 y colocarlas en una ciudad o zona. Algo que sería muy útil en un pentest. Pues así fue, después de analizar los distintos modems que usa ONO para poder extraer de las peticiones “Http” la dirección IP pública y asociarlo a la subred en cuestión. He podido elaborar un pequeño mapa de ciudades y subredes.

Figura 5: Whois con posicionamiento GPS

Probando ya la efectividad de la idea, me dispuse a realizar un auditoria bajo demanda de una empresa, de la que sólo diré que trabaja con temas financieros. Y vaya si me funcionó. En esta ocasión configuré el modem temporalmente con una DMZ apuntando a un Windows Server 2003 que actúa como Domain Controller, y realizando un escaneo contra la dirección IP externa fue coser y cantar ver la falta de actualizaciones y jugar con él.

Posibilidades y Riesgos

El daño que se puede causar es muy alto. Por ejemplo desde ataques ARP-Spoofing, MITM, etc... contra la propia red de ONO, o incluso montar un servidor TFTP y suplantar los archivos de configuración. Podríamos perfectamente entregar direcciones IP a clientes de “Talavera de la Reina”, tal y como se muestra en la foto, montar un servidor DNS y hacer...bueno, todo lo que se puede hacer con un Rogue DNS.

Otra cosa que pruebo a veces en las auditorias que hacemos, es mandar un email con una imagen alojada en un servidor, y ver si la dirección IP desde la que me solicitan esa imagen cuando abren el correo coincide con una de ONO. Si es así compruebo de dónde viene esa dirección IP pública y busco la subred que corresponda para ver si doy con el modem que la tiene asignada.

Solución al problema

La verdad es que el fallo es tan evidente, y tan fácil de descubrir, que el número de personas que puede conocer esto es altísimo. Preocupado por ello, he llamado a ONO e incluso he ido a una de sus oficinas, desde hace ya unos cuantos meses en varias ocasiones. Me pasa lo mismo que la otra vez cuando publiqué el artículo de AirOS, y es que cuando intento que alguien lo solucione me tachan, a mi parecer, de loco, así que he optado por volver a publicarlo, a ver si se arregla. La solución no es muy compleja, ya que existen los Firewall y no es tan complicado configurarlos correctamente para que de verdad se filtren bien las conexiones.

Figura 6: Modelo de cable modem

Mientras espero que ONO resuelva esto, estoy trabajando en un programa en Java - para demostrar el impacto que puede tener este fallo - que recoja direcciones MAC, direcciones IP, direcciones IP públicas, módelos de modem, etcétera... sobre los rangos 192.0.0.0/8, 172.0.0.0/8 y 10.0.0.0/8. Aunque soy algo novato programando y me llevará unos cuantos días pulirlo - a no ser que alguien se preste a echarme una mano a cambio de una cecina y un chorizo rico rico de mi tierra) >:-) -. Para el que quiera el rico embutido...

Gracias a todos.

Autor:
Gerard Norton
gerardnorton@hotmail.com

28 comentarios:

  1. Muy buen trabajo Gerard, que la incompetencia de unos no te impida seguir investigando y reportando.

    Un abrazo

    ResponderEliminar
  2. Yo me fío tan poco del modo de gestión que cuando me pasé a ONO terminé poniendo el router que me daban en modo bridge, y dejar a mi router que hiciera de firewall. Aún así no me libro de ARP-Spoofing o rogue DNS, me parece una verguenza que un ISP tenga medidas tan relajadas; siempre hay un compromiso entre seguridad y experiencia de usuario...pero en este caso el usuario son los técnicos de ONO, así que la seguridad debería de ser bastante más estricta...

    ResponderEliminar
  3. Muy bien, ojala y te hagan caso y se solucione eso pronto.
    Suerte con el programa en Java.

    ResponderEliminar
  4. Y digo yo, a ver si me lo podeis aclarar. Con la nueva legislación que sacaron allá por enero... ¿no te podrían empurar por esto? Toda esta información... por cierto que ONO NO es la única que tiene este tipo de problemas, como ya te imaginarás.

    ¿Habías pensado en eso antes de publicarlo?

    Bueno, que alguien diga si se está comentiendo algo ilegal según España o no.

    Saludos.

    ResponderEliminar
  5. Y digo yo, a ver si me lo podeis aclarar. Con la nueva legislación que sacaron allá por enero... ¿no te podrían empurar por esto? Toda esta información... por cierto que ONO NO es la única que tiene este tipo de problemas, como ya te imaginarás.

    ¿Habías pensado en eso antes de publicarlo?

    Bueno, que alguien diga si se está comentiendo algo ilegal según España o no.

    Saludos.

    Por cierto que la solución no es tan fácil como poner un firewall, porque estamos hablando de enlaces físicos que necesitan estar conectados (normamente en anillo) para poder proveer IPs a los finales.

    Eso no quiere decir que no tenga solución tan difícil.

    ResponderEliminar
  6. "@chemaalonso anda que no tiene años ese fallo, hay mucha gente que tambien se cambia las mac y tener perfiles altos de mbs de otros.. :)"

    https://twitter.com/sharker/status/253396066710466560

    ResponderEliminar
  7. Si por advertir de un falla de seguridad como un templo, te pueden meter un puro, mal vamos.

    Muchos gracias Gerard por tu trabajo. Y al señor Maligno por su difusión.

    ResponderEliminar
  8. Gracias Gerard, espero solucionen el problema, acojona ver lo fácil que sería joder al personal.

    Maligno, por curiosidad, cuál es tu ISP? O cuál crees que es más seguro?

    ResponderEliminar
  9. Hola gente.
    Respecto a nuestro amigo anónimo decir, que para nada es dificil implementar seguridad en una topología de fibra en anillo. Se puede hace hasta en los puertos LAN de los routers de los clientes siendo transparente totalmente para ellos, y aún estando en modo Bridge, e incluso hay fabricantes que implementan estas opciones nativamente sin necesidad de desarrollo por parte del proveedor. Otra cosa es que no lo hagan porque no quieran o por ahorrar en costes de implementación y desarrollo. En la empresa que trabajo damos servicios de ISP, y yo personalmente tengo unas cuantas reglas que protegen a nuestros clientes en toda nuestra red. Puede haber fallos humanos, pero es que aquí no se han molestado en dar la más mínima prioridad a la seguridad de los clientes.
    No solo existe esta vulnerabilidad en los servicios de ONO, y puedo decirte que es posible tirar su red en muchos puntos de nuestra geografía con muchas herramientas que se encuentran por la red, afectando no solo aestos sino a instituciones públicas y más.
    Una buena sanción por parte de la CMT o la AGPD, y verás si lo arreglan.

    Gracias a todos...

    ResponderEliminar
  10. Hola Gerard, soy el anónimo.

    No, si en realidad por lo que dices yo estoy casi con tu razonamiento, pero le pongo un par de peros.

    Lo primero, es lo de la pasta, se hizo así en un principio por un tema de dinero, seguro que sabes lo que cuesta meter cable, entonces reducimos en equipos, pero ahora ya está todo así y cambiar todos los switches, implemtar las bases de datos para saber quién va a quien, reglas de firewall pa' todo Dios, cambiar los aprovisionamientos, equipos clientes de todo el mundo, porque sabes que los que meten ahora son los más malos. (De hecho yo tengo un router en casa de esos que me cambio la contraseña sin saberla con una petición POST).

    Y total, si metes seguridad en el cliente, cojo yo un router mio lo enchufo y ya, por lo que en realidad donde debería estar la seguridad es en los equipos del ISP, y esos tampoco son baratos.

    De hecho seguro que me lo puedes aclarar tú, porque yo no tengo idea, si el backbone de ONO soportarían algo así, tienen caracterítcas para eso o deberían cambiar y comprar equipos.

    Bueno, casi sólo estaba hablando de hierros, pero el trabajo para hacer eso y no cagarla y dejar a la peña sin internete una semana... bastante arriesgado.

    Por último decirte que una cablera de Egpaña, que no es ono, había dicho cuando empezó a levantar las calles que esperaban empezar a tener beneficios en 20-30 años, así que aun les quedan mínimo 10, diría 15.

    Bueno, que quiero decir, que ya sabes con la crisis (la seguridad siempre es lo último), no creo que estén por la labor ahora, que es una pasta muy muy gansa y que están un poquito secos.

    Bueno, nada más, perdón por la biblia y sólo aclararte que no trabajo en ninguna cablera, pero en este caso entiendo que pasen de este tema, yo personalmente de hecho pasaría y buscaría soluciones para tocar lo menos posible.

    Y por si no quedaba claro, estoy completamente de acuerdo que es una cagada, pero no siempre puedes tenerlo todo fetén.

    Un placer, saludos.

    ResponderEliminar
  11. Ummmm interesante, pero... yo tengo fibra con ono y me dejaron un router cisco que tiene bloqueado el telnet, ssh, etc. desde mi red. He probado algunas de las cosas que comentas y no funcionan...
    No sera un tema puntual con tú conección ? Lo has probado en diferentes lugares con diferentes routers ?
    Un saludo

    ResponderEliminar
  12. Para el anonimo que esta probando su modem.

    Desde tu propia LAN no podrás acceder a tu router. Esta vulnerabilidad es accesible unicamente a través de servicios Web en los puertos 80 y 443. No he encontrado más servicios disponibles en los modems. La cosa está en que cuando realizas una petión web el servidor del modem ve tu IP real, y no se enmascara con la IP pública externa del modem. Yo estoy detrás de un Proxy que uso con servicios de antivirus y para caché.

    ResponderEliminar
  13. Para el anonimo defensor, jejeje >:-)

    Lo primero que debería hacer ONO, es desactivar dichos servicios en los modems en la proxima carga de TFTP.

    ¿Porque puedo llegar a zonas como Alcorcón, Tlavera de la Reina, Almeria, etc...? ¿Acaso no hay firewalls fuera de los anillos de fibra de León, o es que no tienen ni una sola regla creada?

    Una cosa es poder ver cliente en tu mismo nodo, aunque para eso existen dispositivos que soportan Port Isolation como los Cisco, y otra poder llegar a clientes de todas partes de España.

    Analizando los datos de mi base de datos sobre 10.0.0.0/8 es ingente la cantidad de equipos que hay. Me tardó 16 días en escanear perolo curioso es que en mi misma ciudad hay muchos menos registros que en otras.

    Además es un poco de risa, pues ONO se apolla en proveedores Level2 como "Cogent Communications" para extender su red. ¿No implementan en los puntos neutros ninguna seguridad?

    En fin no te quito razón es cuanto a lo económico, pero creo que en este caso la expansión de ONO en cuanto a infraestructura debe ir ligado a un buen servicio. No me puedo creer que con los recursos de los que dispone no haya soluciones factibles.

    ResponderEliminar
  14. Además.

    ¿Para que neceista ONO acceso al router de un cliente, si solo saben decirte que desconectes el modem ante un problema?

    jejeje, >:-)

    ResponderEliminar
  15. parece que hasta que no haya un macrobotnet de routers nadie se va a preocupar

    ResponderEliminar
  16. Gerard, con todo el respeto y estando completamente de acuerdo con la mayoría de tus comentarios, lo único con lo que discrepo es con eso de que los ISP no deberían tener acceso a los routers de sus clientes...

    ResponderEliminar
  17. Lo decía en cachondeo, ya que muchas son las veces que cuando se llama por una incidencia te dice un erudito de soporte que reinicies el router, sin ni siquiera llegar a concretar cual a sido el problema.
    He de deciros que despues de haber mantenido varias conversaciones con un ingeniero "de las altas esferas" de ONO que se ha puesto en contacto conmigo, el acceso al portal web de los modems desde mi nodo, parece solucionado.

    >:-)

    ResponderEliminar
  18. Me estoy iniciando en esto de la seguridad informática y me he quedado helado con esta entrada, sobre todo porque tengo ONO y soy de Alcorcón.

    Un saludo y gran trabajo

    ResponderEliminar
  19. Y que tal ponerse en contacto con los abogados de la asocacion de internautas para que se incie una querella contra ono por no impedir estas practicas?
    La multa de la AGPD y la CMT deberia de ser escandalosa....no os imaginas cuantos listillos roban la red a los vecinos o entran en sus ordenadores.
    Esto ono lo sabe, pero para ellos es mas barato poner una "carga" en el cable que va a su domicilio que configurar correctamente su red.
    El impedir que los usuarios accedan a la administracion por telnet o ssh de los cablemodems intentando evitar que estas situaciones se produzcan solo benefician a los listillos malnacidos.
    La mayoria de las personas no tienen ni pajolera idea de configurar un firewall, contratan ono por la publicidad y la TV y luego les ves como se quejan de que su router o cablemodem no les funciona correctamente, llaman a ono por que leen las sugerencias en estos foros que les invitan a llamar al servicio tecnico o comprar un router y ponerlo en modo bridge y luego les meten la clabada por que el tecnico ve que el router funciona bien o cualquier otro problema que solo es explicable por la presencia de estos listillos.

    Gerard, deberias de investigar otro problema que existe en ONO en ciertas partes de España, con el tema de los MTA y como algunos listillos lo unico que necesitan y hacen es cambiar las rutas de dicho MTA usand la ip del GW po defecto e la conexion...como las ips son fijas a esos listillos les beneficia.


    ResponderEliminar
  20. Un excelente trabajo. No he entendido todas las pruebas que has realizado, pero me pongo a estudiarlo como asignatura pendiente :)

    Me parece mentira que no te hagan caso, ¿lo has probado en alguna red social?, las operadores suelen ser más receptivas en este tipo de medios.

    ResponderEliminar
  21. ¿A que te refieres con probarlo en alguna red social?

    Las pruebas realizadas no se han expuesto al completo y es solo un presentación para ver lo fragil que es la seguridad implementada en dicha red. Solo se pretende que se solucione y no causar daño.

    A día de hoy se puede seguir buceando entre sus subredes desde otros puntos, pues paracere que solo bloquearon el acceso desde mi nodo. Solo tienes que saber colocarte en el rango de ip correcto.

    ResponderEliminar
  22. Yo me anduve conectando por ssh a las máquinas de la red de ONO. No tienen firewall, porque son máquinas rudimentarias, eso las hace accesibles desde cualquier punto de la red, ya que no son capaces de diferenciar la procedencia de las conexiones.
    No pude tocar nada, me encontré con el acceso password.

    Lo que dices del broadcast es verdad, de hecho si miras la máscara de red que tienes, intuyes directamente que eres parte de una red donde hay más usuarios, nada de punto a punto, como el ADSL.

    ResponderEliminar
  23. ¿es normal que ono escanee mis puertos continuamente? Bit defender no para de detectar escaneo de puertos y me da la ip del origen Madrid y BCN

    ResponderEliminar
  24. BLANI

    QUIERO WATSAPP EN MI MOVIL, CON SEÑAL DEL CABLE/MODEM DE ONO (CON CABLE DIRECTO EN EL ORDENADOR).

    PERDERÍA SEGURIDAD EN MI ORDENADOR?

    SOY NOVATA , TENED PIEDAD EN LA EXPLICACIÓN.

    COMO DEBERÍA HACER PARA CONFIGURAR EL EQUIPO.

    WINDOWS XP.


    GRACIAS DESDE MALLORCA !!!!!!!!!!

    ResponderEliminar
  25. BLANI

    OTRA DUDA.

    TENGO MUY LENTO ONO.

    Y VEO QUE EL PROXI ACTUAL Y EL PROXI DE LA LAN, ESTÁN DESACTIVADOS, SERÁ ESO?

    COMO LO CAMBIO?

    QUE PUEDE SER?

    ResponderEliminar
  26. Puede x varios motivis... entra en el router, tecleando tu puerta de enlace en el navegador, y mira los dispositivos conectados, igual tienes un vecino chupa do del frasco. O tambien luede ser algun tipo de malware. Instalate el Malware bytesAnti malware y hazle una pasada al pc

    ResponderEliminar
  27. Me ha gustado bastante la entrada...
    Lo que no nos encontremos en la ISP de España...

    Tengo el mismo router Hitron que citas y tengo un problema. Me conecto a una VPN para trabajar y de vez en cuando le dan yuyus y se desconecta incluso del wifi. Esto SÓLO OCURRE CON EL WIFI ¿?¿?¿?
    CON CABLE ETH NO. Vaya película no?

    ResponderEliminar
  28. Retomo este tema tras una prueba sorprendente que he descubierto casi de casualidad.

    Efectivamente, todo cablemodem tiene 2 IP: la interna de gestión (10.x), asignada mediante DHCP, y la pública.

    El caso es que un cablemódem dado de baja... sigue obteniendo una IP 10.x, y es accesible desde toda la red de ONO.

    Por lo cual, con un modem dado de baja tenemos conexión a la red de ONO. Sólo faltaría desde el módem poder crear una ruta estática, y levantar una VPN contra un servidor ubicado en la red de ONO... y tachán :P

    ResponderEliminar