Modem ZTE F660 ANTEL. Falta update, falla seguridad.

El módem de Fibra ZTE F660 (1) es un equipo Router/modem de Fibra usado en todo el mundo.
En Uruguay ANTEL lo instala para sus clientes residenciales.
Al momento de la instalación o de manera remota llamando al Servicio técnico se puede
solicitar el uso como módem o router (cuenta con wifi)

Para acceder a la configuración del equipo este cuenta con 3 usuarios:

  • user (clave «user»)
    Permite configuración básica, datos de acceso PON, Wifi
  • instalador (clave «wwzz2233»)
    Configuración básica más la posibilidad de abrir puertos
  • admin (clave «Ql52jP23» y “5DhD64Je”)
    Control total del equipo.

Generalmente estos equipos no cuentan con el acceso web de administración abierto para internet sin embargo se detectó al (04/04/16) (2) que por lo menos 998 routers cuentan con el puerto telnet(3) abierto a internet, esto representa un gran riesgo de seguridad para los usuarios de estos equipos.
No solo se puede acceder a los datos de la conexión, sino también a modificar parámetros, este problema puede ser explotado para realizar distintos tipos de ataques, desde ingresar a una red sin autorización, colocar algún bot o backdoor específico para el hardware (como ha sucedido con algunos modem/routers 4)  o un ataque de DNS hijacking (5).
Es común verlos tanto en hogares como en empresas y es un riesgo de seguridad que casi nunca tenemos presente.

La solución (o mas bien mitigación de los riesgos) por parte de ANTEL es deshabilitar el puerto telnet en estos equipos y el reseteo de las claves correspondientes, y por parte de los fabricantes mantener actualizaciones del software.

Esto fue notificado al CSIRT-ANTEL  y me respondieron rápida y amablemente que esto estaban trabajandolo.

 

ZTE

 

1 http://enterprise.zte.com.cn/en/products/network_lnfrastructure/broadband_access/xpon_olt/201401/t20140109_416587.html
2 https://www.shodan.io/report/qmXnnJUs
3 https://es.wikipedia.org/wiki/Telnet#Problemas_de_seguridad_y_SSH
4 https://w00tsec.blogspot.com.uy/2016/09/luabot-malware-targeting-cable-modems.html
5 https://en.wikipedia.org/wiki/DNS_hijacking