Credenciales por defecto en múltiples Routers DSL

Se ha anunciado que diferentes routers de las firmas ASUS, DIGICOM, Observa Telecom, Philippine Long Distance Telephone (PLDT) y ZTE incluyen credenciales conocidas predefinidas en su código. Entre los routers afectados se incluye uno distribuido por Movistar.

Router ADSL Observa RTA01N v2
facilitado por Movistar

Los modelos de routers DSL afectados son ASUS DSL-N12E, DIGICOM DG-5524T, Observa Telecom RTA01N, Philippine Long Distance Telephone (PLDT) SpeedSurf 504AN y ZTE ZXV10 W300. Todos ellos incluyen credenciales predefinidas que podrían emplearse para acceder al servicio telnet del dispositivo con permisos de administrador. Concretamente el modelo Observa RTA01N v2 forma parte del equipamiento básico de los clientes de Movistar con ADSL.

En los modelos ASUS, DIGICOM, Observa Telecom y ZTE, el nombre de usuario es "admin", mientras que para los dispositivos PLDT el nombre de usuario es "adminpldt". Para todos los dispositivos afectados la contraseña es "XXXXairocon" donde "XXXX" son los últimos cuatro caracteres de la dirección MAX del router. La dirección MAC puede conseguirse a través de la información pública de la comunidad SNMP.

Para los routers ZTE ZXV10 W300 esta vulnerabilidad ya era conocida desde febrero del 2014 (CVE-2014-0329), pero recientemente se ha sabido que el mismo problema, incluso con las mismas credenciales, también afecta a otros dispositivos.

Como contramedida se recomienda activar reglas en el firewall para impedir el acceso al dispositivo desde fuentes desconocidas, así como bloquear el servicio SNMP.

Más información:

DSL routers contain hard-coded "XXXXairocon" credentials

http://www.kb.cert.org/vuls/id/950576

ZTE ZXV10 W300 router contains hardcoded credentials

https://www.kb.cert.org/vuls/id/228886

Router ADSL Observa RTA01N v2

http://www.movistar.es/particulares/atencion-cliente/internet/adsl/equipamiento-adsl/routers/router-adsl-observa-rta01n-v2/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero