Shodan: usuarios y contraseñas por defecto

En la entrada anterior ya hablábamos del potencial de Shodan para indexar dispositivos IP de todo tipo; servidores, routers, cámaras IP… No sólo es capaz de encontrar dispositivos que respondan a un determinado puerto o servicio, si no que además podemos realizar búsquedas a través de las respuestas del propio dispositivo, por ejemplo después de hacer una petición HTTP. De ahí que Shodan sea capaz de mostrar información acerca de usuarios y contraseñas por defecto.

Como siempre, la información que aquí se muestra espero que sea usada con fines legales y éticos, ya que defendemos la seguridad e inseguridad desde el prisma del Hacking Ético, NUNCA para que el conocimiento sea usado con fines maliciosos o ilegales.

¿Sabéis cuál es el router ADSL Zyxel P-660HW-D1? Quizás por el nombre no lo sepáis, pero seguro que si véis la imagen a continuación sí os suena de algo…

Zyxel P660HW-D1Pues bien, como sabéis todos los routers ADSL permiten configurarlos a través de varios medios; telnet, SSH o vía Web. Esta última opción es de las más usadas, y para ello hay que autenticarse a través de un HTTP Basic Authentication del cual ya hablamos, sobre todo de su seguridad e inseguridad.

Bien es sabido (si no lo sabías y usas este router deberías saberlo) que el usuario y contraseña por defecto es conocida por los atacantes, o bien por el boca a boca, o bien porque se publican en Web y foros de atacantes o bien porque se encuentra publicada en sitios como routerpassword.com que cuenta con una amplia base de datos de los usuarios y contraseñas por defecto de prácticamente todos los fabricantes y modelos que os podáis imaginar.

routerpasswords.com - admin - 1234

Efectivamente, admin/1234, 1234/1234… son algunas de los usuarios y contraseñas usadas y que por desgracia son fácilmente conocidas por los posibles atacantes. No hace falta decir, que la primera contramedida es cambiar la contraseña y usuario (si es posible) por defecto.

Centrándonos en Shodan, lo que nos tiene que preocupar es que no sólo se conoce las credenciales por defecto si no que además se nos puede localizar mediante Shodan. Es decir, si nuestro router sigue usando las credenciales por defecto, y además nuestra IP está indexada por Shodan, el resultado puede ser que el atacante accede directamente a la administración de nuestro router. Read the rest of this entry »