jueves, febrero 19, 2015

Routers Comtrend VG-8050 con claves SSH duplicadas

La noticia de ayer sin duda fue la publicación de John Matherly de que había ,descubierto que un fabricante de routers de comunicación estaba sirviendo a empresas Telcos e ISPs routers con una clave de cifrado SSH por defecto. Entre las empresas afectadas por este problema se encuentra Telefónica de España y por eso John había tenido la deferencia de comunicarse conmigo por Twitter y contármelo. Por supuesto, desde primera hora de la mañana los equipos que llevan la relación con los proveedores de routers y los que se ocupan de la seguridad en Telefónica de España se pusieron manos a la obra para medir el alcance del problema.

Figura 1: Routers Comtrend VG8050 con claves SSH duplicadas

Yo os hablo en este post como usuario y cliente de Telefónica de España, y no como portavoz de nada, ya que a pesar de que trabajo en el Grupo Telefónica, mi responsabilidad no recae en la parte de seguridad interna de las conexiones donde hay ya equipos largo tiempo trabajando. Aún así, como os podéis imaginar me preocupa e interesa cualquier tema como éste, así que le eché un ojo.

La clave duplicada

Como se puede, el fabricante proveedor de routers ha utilizado una clave generada para SSH antes de hacer la imagen que montar en los routers, haciendo que todos los equipos con el mismo firmware estén usando el mismo sistema de cifrado. Como se puede ver, esto está sucediendo por muchos lugares del mundo.

Figura 2: Claves SSH duplicadas en las imágenes de ese fabricante proveedor de routers

Como la clave privada se encuentra en todos los routers, cualquiera que tenga uno de esos routers puede dumpear de la imagen del sistema la clave privada del demonio SSH. Con esa clave, podría descifrar cualquier comunicación SSH que se haga con cualquier router de que use esa clave.

Consecuencias directas

El impacto es evidente, se acaba de convertir el SSH en un Telnet, así que cualquiera de los equipos que están en esa lista podríamos decir que pasan de ser routers que se administran por SSH a routers que se administran por Telnet, algo que debería evitarse, aunque por desgracia sigue siendo práctica habitual que muchos dispositivos vengan con Telnet habilitado y con usuarios por defecto.

Impacto en routers de Telefónica

Si tras leer la noticia has intentado conectarte por SSH a los routers de Telefónica, verás que la gran mayoría están bloqueados por el sistema de administración remoto de routers, es decir, que aunque tenga el demonio abierto, están filtrados por dirección IP para que solo se puedan conectar los técnicos que dan soporte. Esa protección existe, ya que, por motivos de administración, muchos de esos equipos tienen usuarios y contraseñas por defecto que se usan para poder gestionar los routers de los clientes, que es la principal barrera para evitar que alguien se conecte a tu equipo remotamente.

Figura 3: Conexiones ssh filtradas por firewall

Un atacante remoto que haga un man in the middle a una conexión remota SSH podría robar las contraseñas del técnico de administración, pero no necesitaría hacerlo, ya que cualquiera que haya hecho un dump del firmware sabe cuáles son los usuarios por defecto que vienen en las imágenes de los routers, y por eso se han filtrado las conexiones WAN a solo los centros de soporte.

Hardening de tu router

Si eres usuario de Telefónica y tienes el router gestionado por el servicio técnico no deberías preocuparte por esto. Es responsabilidad de ellos evitar las conexiones desde Internet a tu router que no venga de ninguna dirección IP que no sea el centro de soporte y evitar man in the middle cuando ellos se conecten, y para eso se utilizan las capacidades de operador de telecomunicaciones que tiene Telefónica de España.

Figura 4: El router afectado es el modelo Comtrend VG-8050

Si gestionas tu él router y has cambiado los usuarios por defecto del sistema, entonces deberías tener cuidado con esto, ya que si te conectas desde una red donde te hagan un man in the middle alguien te podría robar las nuevas credenciales. Para evitar eso, métele mano a tu SSH, cambia las claves, fortifícalo y si te animas, métele Latch.

Saludos Malignos!

7 comentarios:

  1. anoche leí también hackplayers: http://www.hackplayers.com/2015/02/250k-routers-de-telefonica-mismas-claves-ssh.html

    ResponderEliminar
  2. @anonimo, yo tb. He escrito este post para detallar más el asunto. Saludos!

    ResponderEliminar
  3. Hola Maligno, me sorprende no haber visto ningun articulo tuyo opinando sobre esto http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216 la ns@ esta poniendo software espia en discos duros de las principales emresas que los fabrican. Saludos

    ResponderEliminar
  4. Buenas, yo entiendo que todos los router tienen el mismo fingerprint, y que tienen la misma clave pública que se usa para autenticar a los administradores remotos de modo que, se podría hacer un MiTM. El caso, en el artículo pones que se puede obtener la clave privada, eso no es erróneo? La privada usada para la autenticación la tendrá el ISP (y espero que nadie más :D )

    ResponderEliminar
  5. @anónimo, no. No es así. El servidor SSH tiene la clave privada para cifrar la comunicación. El operador no tiene más que el usuario y la password del usuario. El servidor SSH es el que cifra el canal de comunicaciones.

    Saludos!

    ResponderEliminar
  6. @anónimo, no. No es así. El servidor SSH tiene la clave privada para cifrar la comunicación. El operador no tiene más que el usuario y la password del usuario. El servidor SSH es el que cifra el canal de comunicaciones.

    Saludos!

    ResponderEliminar
  7. Hola. Refloto esto porque como usuario sin conocimientos en seguridad informática, después de leer este artículo hay un asunto que me preocupa. Tengo un Comtrend VG-8050 y no puedo acceder al Portal Alejandra, ni por puerta de enlace predeterminada con usuario y clave por defecto 1234 (ambos)y al igual que a cientos de clientes que consultan en el foro de Movistar, la solución que se me ha dado ha sido la de ejecutar un reset de fábrica, algo que aún no he realizado. ¿Es posible que hayan capado el acceso al Portal Alejandra desde la misma Movistar? Gracias por tu tiempo. Un saludo.

    ResponderEliminar