Hola,
Tengo el Comtrend-VG-8050. Al intentar conectar a IRC (Internet Relay Chat - sí, todavía existe y se usa), esta gente hace un escaneo de puertos, detectan el SSH del router, dicen que es una versión obsoleta y vulnerable, y me prohíben el acceso a su servidor para no ponerlos en peligro.
[Thursday, August 16, 2018] [4:32:08 PM CEST] 465 **** You are banned from this server- Vulnerable SSH exposed to the public - email proxyscan@freenode.net for help (2018/8/16 13.36) [Thursday, August 16, 2018] [4:32:08 PM CEST] Error Connection to server chat.freenode.net (port 6697) lost: Unknown error. [Thursday, August 16, 2018] [4:32:08 PM CEST] Info Trying to reconnect to chat.freenode.net (port 6697) in 10 seconds. [Thursday, August 16, 2018] [4:32:19 PM CEST] Info Looking for server chat.freenode.net (port 6697)... [Thursday, August 16, 2018] [4:32:19 PM CEST] Info Server found, connecting... [Thursday, August 16, 2018] [4:32:19 PM CEST] Info Negotiating capabilities with server... [Thursday, August 16, 2018] [4:32:19 PM CEST] Notice -barjavel.freenode.net- *** Looking up your hostname... [Thursday, August 16, 2018] [4:32:19 PM CEST] Notice -barjavel.freenode.net- *** Checking Ident [Thursday, August 16, 2018] [4:32:19 PM CEST] Notice -barjavel.freenode.net- *** Found your hostname [Thursday, August 16, 2018] [4:32:19 PM CEST] Notice -barjavel.freenode.net- *** No Ident response [Thursday, August 16, 2018] [4:32:20 PM CEST] Info Requesting capabilities: account-notify extended-join multi-prefix sasl [Thursday, August 16, 2018] [4:32:23 PM CEST] Info SASL capability acknowledged by server, attempting SASL PLAIN authentication... [Thursday, August 16, 2018] [4:32:26 PM CEST] Error SASL authentication attempt failed. [Thursday, August 16, 2018] [4:32:26 PM CEST] Info Closing capabilities negotiation. [Thursday, August 16, 2018] [4:32:26 PM CEST] 465 **** You are banned from this server- Vulnerable SSH exposed to the public - email proxyscan@freenode.net for help (2018/8/16 13.36) [Thursday, August 16, 2018] [4:32:26 PM CEST] Error Connection to server chat.freenode.net (port 6697) lost: Unknown error. [Thursday, August 16, 2018] [4:32:26 PM CEST] Info Trying to reconnect to chat.freenode.net (port 6697) in 10 seconds.
Este es el párrafo importante del correo que recibí de su sistema de tickets:
You have been banned from freenode by our automated open proxy scanner. This means that our proxy scanner was able to exploit software running on your machine. Please read over http://en.wikipedia.org/wiki/Open_proxy#Disadvantages if you're unfamiliar with the term 'open proxy' or why we don't allow connections from open proxy hosts on freenode.
Así que no puedo usar el servicio IRC por una posible vulnerabilidad en el router de Telefónica.
Es más, me avisan de mi posible responsabilidad legal si alguien llegara a usar ese proxy abierto maliciosamente, así que ni de coña van a ignorarlo:
[Wednesday, August 22, 2018] [10:51:55 PM CEST] <mniip> ****, do you realize this is putting you in legal danger? [Wednesday, August 22, 2018] [10:52:12 PM CEST] <****> No, it is not mine, so no danger at all [Wednesday, August 22, 2018] [10:52:21 PM CEST] <mniip> ****, it is your IP address [Wednesday, August 22, 2018] [10:52:37 PM CEST] <bigpresh> ****: the danger is that *anyone* can use your router, as a proxy, to carry out illegal actions that will be traced back to your IP, and you will likely be held responsible
Bien, yo se lo digo a ustedes, Telefónica, y queda dicho por escrito, por si las moscas. La responsabilidad de proveer de actualizaciones que cierren los agujeros de seguridad es de ustedes, no mía. Y el router no es mi propiedad, es la suya.
No, ignoro que vulnerabilidad exacta han encontrado, no tengo acceso a esa información. Estará en los registros de ellos. Ustedes, que son mi ISP, podrán preguntarles y obtener esa información, yo no tengo autoridad.
Por otra parte, yo he tratado de cerrar ese puerto SSH sin éxito. De hecho, hay más puertos abiertos que no deberían estar, ya que son el target de script kiddies y de cualquier cracker que se precie:
Telcontar:~ # nmap **** Starting Nmap 6.47 ( http://nmap.org ) at 2018-08-22 20:07 CEST Nmap scan report for **** (****) Host is up (0.00051s latency). rDNS record for ****: ****.dynamicip.rima-tde.net Not shown: 996 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 3.85 seconds Telcontar:~ #
Hay ftp, ssh, telnet, y http abiertos (y no por mí). Que haya ssh (en versión moderna) es logíco, pero que haya Telnet, que es tremendamente vulnerable desde hace lustros, tiene delito.
No he encontrado configuración para cerrarlos, o al menos, cerrar el ssh que es el que protestan. He tratado de bloquear entrantes a ese puerto en el cortafuegos del router, sin éxito. Lo que me da a sospechar que ustedes usan ese puerto para algo.
Bien, ¿que me dicen?
Disculpa, no es eso.
Se trata de puertos propios del router, no de mis ordenadores puertas adentro. Esos sé perfectamente como abrir y cerrar los puertos, tienen sus propios cortafuegos y los gestiono yo.
El problema son son 4 puertos propios del router, accesibles desde internet, posiblemente para configurar el router desde fuera, cosa que yo no hago nunca. Quizás vosotros sí, por telegestión.
Pues por eso necesito información oficial de Telefónica para una actualización del firmware sin esos agujeros de seguridad, y mientras tanto, como poder cerrar esos puertos en el router de ellos, porque no lo encuentro/no funciona.
Lo he intentado en Advanced Setup/Security/Ip Filtering/Incoming. Ahí figuran el 21y 23 como "reject", y yo he añadido el 22, como drop y como reject. Pero puedo confirmar que los tres siguen abiertos, incluso después de un reboot.
Mientras tanto, yo ya lo he dicho, y si hay una demanda judicial, como me avisan, pues ya no es responsabilidad mía, está puesto por escrito.
¡Hola cerm!
Disculpa la demora de respuesta. Si eres tan amable te agradecería que nos confirmes tus datos por mensaje privado (DNI del titular, teléfono fijo, móvil de contacto), con ello revisar la configuración de tu router.
Gracias, un saludo Katyana.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola,
Gracias, pero me parece que eso no hace falta ya. Estoy de viaje y por eso no os lo he dicho antes, pero miré hacia mi router desde otra red y sí había conseguido cerrar el puerto. Ahora mismo está otra vez abierto mientras investigaba otra cosa y se me olvidó cerrarlo de nuevo. El estado actual visto desde el otro lado del atlántico es:
PORT STATE SERVICE 22/tcp open ssh 53/tcp filtered domain 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds
Legolas:~ # nmap DEST -p 22 -sV --version-all ... PORT STATE SERVICE VERSION 22/tcp open ssh Dropbear sshd 0.46 (protocol 2.0) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Dado que estoy de viaje y necesito el acceso remoto a mi casa preferiría no tocar el router, al menos hasta que vuelva.
Lo que sí interesa es que averigueis que vulnerabilidad es la que afecta a ese modelo de router y publiquéis el parche. Para eso no necesitáis acceso a mi router sino saber el modelo.
Editado 29-08-2018 21:54
Editado 29-08-2018 21:54
¡Hola cerm!
Disculpa las molestias, intentamos verificar el Firmware actual de tu router Comtrend-VG-8050 y los puertos abiertos en el mismo, por ello te solicitamos los datos por privado. Además así podríamos escalar tu caso de forma particular.
Igualmente estamos revisando la configuración del router Comtrend-VG-8050, lo antes posible te informamos.
Saludos, Katyana.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Buenas @cerm
Por defecto, no te puedo decir si es así en todos los Routers de Movistar porque son muchos, usan reglas de filtrado para bloquear el tráfico hacia dichos puertos, permitiendo sólo un pequeño rango de los equpos de Movistar, requeridos para asistencia y otros.
Respecto a que vulnerabilidad puede estar causando y lo de que tu router se usa como un proxy abierto, tampoco es cierto. Ellos al conectarte hacen un escaner de puertos y como mucho probarán alguna vulnerabilidad conocida, y dependiendo de lo que ellos estimen te dicen que podría ser usado como un proxy tu propio Router.
Vulnerabilidades hay muchas, mira para Dropbear 0.46.
En cualquier caso me parece un tanto preocupante si realmente la versión de Dropbear que lleva el Router es la 0.46, es de 2005... han pasado 13 años, casi nada.
No te compliques, añade un filtro en el Firewall para bloquear el acceso completo a SSH y listo
Creo que lo que hacen es ver la versión del ssh, y al ver lo antigua que es pues ya me banean. En alguna parte tendrán listado que es vulnerable.
Efectivamente, cerrar el puerto en el cortafuegos es lo suyo. Pero al comprobarlo lo hice mal y me daba abierto (aun especificando la IP externa al nmap, estaba mirando la interna). Mirando desde otra red externa daba cerrado como tenía que ser.
Lamentablemente, al investigar otro asunto tuve que desactivar la regla nueva del cortafuegos. y al terminar se me olvidó reactivarla. Y como ahora estoy de viaje al otro lado del charco pues no me atrevo a tocar la configuración del router. Un error tonto y me puedo quedar tirado. Prefiero no tocarlo hasta la vuelta.
Gracias 🙂
¡Hola cerm!
Nos mantenemos a la espera hasta que configures tu router y nos confirmes si te sigue apareciendo este fallo. Mantenemos tu hilo abierto a la espera de confirmación por tu parte.
Como nos indicas por mensaje privado, no tocamos nada en la configuración de tu router.
Saludos, Katyana.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Gracias 🙂
El mes que viene vuelvo y entonces puedo reconfigurar el router con calma.
¡Hola cerm!
Para mantener un orden en el foro, y al informarnos que vas a tardar un mes vamos a proceder cerrar tu hilo por los tiempos de espera.
Te agradecería que cuando reconfigures tu router inicies una nueva conversación SOPORTE ADSL FIBRA y te dejo el enlace de este hilo que vamos a cerrar.
Disculpa las molestias causdas. Saludos, Katyana.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es