Shodan: usuarios y contraseñas por defecto

En la entrada anterior ya hablábamos del potencial de Shodan para indexar dispositivos IP de todo tipo; servidores, routers, cámaras IP… No sólo es capaz de encontrar dispositivos que respondan a un determinado puerto o servicio, si no que además podemos realizar búsquedas a través de las respuestas del propio dispositivo, por ejemplo después de hacer una petición HTTP. De ahí que Shodan sea capaz de mostrar información acerca de usuarios y contraseñas por defecto.

Como siempre, la información que aquí se muestra espero que sea usada con fines legales y éticos, ya que defendemos la seguridad e inseguridad desde el prisma del Hacking Ético, NUNCA para que el conocimiento sea usado con fines maliciosos o ilegales.

¿Sabéis cuál es el router ADSL Zyxel P-660HW-D1? Quizás por el nombre no lo sepáis, pero seguro que si véis la imagen a continuación sí os suena de algo…

Zyxel P660HW-D1Pues bien, como sabéis todos los routers ADSL permiten configurarlos a través de varios medios; telnet, SSH o vía Web. Esta última opción es de las más usadas, y para ello hay que autenticarse a través de un HTTP Basic Authentication del cual ya hablamos, sobre todo de su seguridad e inseguridad.

Bien es sabido (si no lo sabías y usas este router deberías saberlo) que el usuario y contraseña por defecto es conocida por los atacantes, o bien por el boca a boca, o bien porque se publican en Web y foros de atacantes o bien porque se encuentra publicada en sitios como routerpassword.com que cuenta con una amplia base de datos de los usuarios y contraseñas por defecto de prácticamente todos los fabricantes y modelos que os podáis imaginar.

routerpasswords.com - admin - 1234

Efectivamente, admin/1234, 1234/1234… son algunas de los usuarios y contraseñas usadas y que por desgracia son fácilmente conocidas por los posibles atacantes. No hace falta decir, que la primera contramedida es cambiar la contraseña y usuario (si es posible) por defecto.

Centrándonos en Shodan, lo que nos tiene que preocupar es que no sólo se conoce las credenciales por defecto si no que además se nos puede localizar mediante Shodan. Es decir, si nuestro router sigue usando las credenciales por defecto, y además nuestra IP está indexada por Shodan, el resultado puede ser que el atacante accede directamente a la administración de nuestro router.

Veamos un ejemplo práctico.

Shodan, admin y 1234

Esta simple búsqueda nos ha devuelto casi 130.000 resultados de búsqueda, de dispositivos IP cuyas credenciales por defecto son admin/1234. De hecho en la respuesta del dispositivo de la imagen se puede comprobar que dicha información aparece en la línea: WWW-Authenticate: Basic realm=”Default: admin/1234″.

Si probamos con una de las direcciones IP, para comprobar la veracidad de esta información…

PoC - Zyxel Auth

Por cuestiones obvias de legalidad no vamos a probar a introducir los datos, pero un atacante sí lo haría y las probabilidades de que el acceso tenga éxito (por desgracia) son muchas.

Espero que la información sirva para concienciar y sensibilizar de la importancia de NO usar credenciales por defecto, ya que las posibilidades de que seamos víctimas de un ataque, son muchas.

Saludos!

Miguel Ángel Arroyo
@miguel_arroyo76

Leave a Reply

You must be logged in to post a comment.