Foro

Avatar de SeiferWR
SeiferWR
Más integrado que la RDSI
08-08-2024
Resuelto

Puerto abierto potencialmente peligroso

Tras realizar un nmap a mi ip pública veo un puerto abierto relacionado con una vulnerabilidad explotable conocida. A un compañero que ha escrito anteriormente le habéis dicho que esto es normal, pero no parece normal y es potencialmente peligroso.

 

PORT          STATE   SERVICE   VERSION

16667/tcp open   http              mini_httpd 1.30 26 Oct2018

CVE-2018-18778

  • Avatar de Theliel
    Theliel
    09-08-2024

    Buenas SeiferWR 

     

    Es importante cuando se hace uso de herramientas de diagnóstico del tipo que sea, entender su significado y su importancia. Pasa a diario cuando los usuarios hacen uso de herramientas sumamente tan importantes como PING/Tracer, y suelen no entender bien los resultados y la utilidad de ello, a veces uno ve una cosa, pero realmente hay otra cosa.

     

    Dicho esto, vamos a tu caso particular. Dado que no indicas el modelo de Router que tienes, no se puede hacer un diagnóstico más exacto, así que te contestaré de forma más genérica, puesto que con la amalgama de HGU que hay ahora mismo rondando es complicado asegurar al 100% nada.

     

    En primer lugar, es completamente normal que un Router, o cualquier dispositivo dentro de tu propia red local, tenga numerosos servicios disponibles. Eso no quiere decir que dichos servicios estén disponibles desde el exterior, o que el dispositivo (PC, Router...) permita su acceso de forma indiscriminada. Los equipos de Movistar hacen uso de dicho puerto para TR069... o al menos parte de. No obstante, dicho puerto no es accesible desde Internet, y dependiendo del modelo ni siquiera es accesible desde la red local. El Router posee reglas iptables para bloquear cualquier intento de acceso a él.

     

    Si usas nmap sobre tu IP pública, por otro lado, desde tu red local (no lo mencionas), el Router puede hacer igualmente NAT Loopback, con lo que los resultados tampoco tienen mayor valor que lanzarlo sobre la IP local del Router (192.168.1.0)

     

    Aun cuando el puerto estuviese en algún modelo concreto expuesto a Internet y el Firewall del Router permitiese el acceso (son muchos equipos como para estar 100% seguro), la vulnerabilidad tampoco existe, no sé si has parado a mirar el CVE pertinente, ya que afecta a versiones ANTERIORES a la 1.30. O dicho de otro modo, la 1.30 no es vulnerable a dicho CVE

     

    Aun cuando fuese una versión algo más vieja y por ende vulnerable, y a la vez dicho servicio estuviese realmente expuesto a Internet (cosa que gran parte de los HGU con seguridad manifiesta no), el grado de peligrosidad para el usuario, sería mínimo, permitiría leer archivos internos del Router (muy facil de comprobar por cierto si es vulnerable o no), pero no permitiría ningún tipo de modificación o acceso a otro tipo de datos. Lo más que se podría obtener sería hilando muy fino y conociendo perfectamente el modelo, leer los archivos donde se encuentran los leases estáticos para saber los dispositivos que hay en la red. Aun con todo, por supuesto, si este fuese el caso habría que solucionarlo de todos modos, no se puede dejar un Router con una vulnerabilidad sin parchear.

     

    Pero repito, este no es el caso. Ni el servicio está expuesto a Internet para que cualquiera pueda acceder, ni la versión presente es vulnerable compañero. Así que puedes estar tranquilo que está todo en orden 🙂

     

    Saludos compañero.

3 Respuestas

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    10-08-2024

    Hola SeiferWR

     

    Te agradecemos Theliel por su colaboración.

     

    Nos alegra que se haya resuelto tu problema, no dudes en contactar de nuevo con nosotros si tienes cualquier consulta y/o problema.


    ¡Gracias por confiar en nosotros y participar en la Comunidad!.

     

    Un saludo, Kevin.

  • Avatar de SeiferWR
    SeiferWR
    Más integrado que la RDSI
    09-08-2024

    Correcto, Up to (excluding) 1.30

    Gracias por la explicación tan detallada. Un saludo, compañero.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    09-08-2024

    Buenas SeiferWR 

     

    Es importante cuando se hace uso de herramientas de diagnóstico del tipo que sea, entender su significado y su importancia. Pasa a diario cuando los usuarios hacen uso de herramientas sumamente tan importantes como PING/Tracer, y suelen no entender bien los resultados y la utilidad de ello, a veces uno ve una cosa, pero realmente hay otra cosa.

     

    Dicho esto, vamos a tu caso particular. Dado que no indicas el modelo de Router que tienes, no se puede hacer un diagnóstico más exacto, así que te contestaré de forma más genérica, puesto que con la amalgama de HGU que hay ahora mismo rondando es complicado asegurar al 100% nada.

     

    En primer lugar, es completamente normal que un Router, o cualquier dispositivo dentro de tu propia red local, tenga numerosos servicios disponibles. Eso no quiere decir que dichos servicios estén disponibles desde el exterior, o que el dispositivo (PC, Router...) permita su acceso de forma indiscriminada. Los equipos de Movistar hacen uso de dicho puerto para TR069... o al menos parte de. No obstante, dicho puerto no es accesible desde Internet, y dependiendo del modelo ni siquiera es accesible desde la red local. El Router posee reglas iptables para bloquear cualquier intento de acceso a él.

     

    Si usas nmap sobre tu IP pública, por otro lado, desde tu red local (no lo mencionas), el Router puede hacer igualmente NAT Loopback, con lo que los resultados tampoco tienen mayor valor que lanzarlo sobre la IP local del Router (192.168.1.0)

     

    Aun cuando el puerto estuviese en algún modelo concreto expuesto a Internet y el Firewall del Router permitiese el acceso (son muchos equipos como para estar 100% seguro), la vulnerabilidad tampoco existe, no sé si has parado a mirar el CVE pertinente, ya que afecta a versiones ANTERIORES a la 1.30. O dicho de otro modo, la 1.30 no es vulnerable a dicho CVE

     

    Aun cuando fuese una versión algo más vieja y por ende vulnerable, y a la vez dicho servicio estuviese realmente expuesto a Internet (cosa que gran parte de los HGU con seguridad manifiesta no), el grado de peligrosidad para el usuario, sería mínimo, permitiría leer archivos internos del Router (muy facil de comprobar por cierto si es vulnerable o no), pero no permitiría ningún tipo de modificación o acceso a otro tipo de datos. Lo más que se podría obtener sería hilando muy fino y conociendo perfectamente el modelo, leer los archivos donde se encuentran los leases estáticos para saber los dispositivos que hay en la red. Aun con todo, por supuesto, si este fuese el caso habría que solucionarlo de todos modos, no se puede dejar un Router con una vulnerabilidad sin parchear.

     

    Pero repito, este no es el caso. Ni el servicio está expuesto a Internet para que cualquiera pueda acceder, ni la versión presente es vulnerable compañero. Así que puedes estar tranquilo que está todo en orden 🙂

     

    Saludos compañero.