Vulnerabilidad de password en Routers ZyXEL
by Spy]-[unt3R(spyhunt3r@yahoo.com)

Sistemas afectados:
	Prestige 643R
	Prestige 642R
	Prestige 642R-I

[Introduccion]

El siguiente texto no trata acerca de una vulnerabilidad nueva, pero 
con la llegada al Peru de la tecnologia ADSL este problema afecta a
muchos usuarios que consumen este servicio en el pais. Telefonica del 
Peru en algunos de sus planes "Speedy" distribuye el Prestige 643R y 
la mayoria de veces el tecnico que viene a configurar el equipo lo deja 
con la configuracion por defecto exponiendo a los usuarios a ataques 
remotos.


[Descripcion]

Los routers ZyXEL 643R, 642R y 642R-I en su configuracion por defecto,
permiten a cualquiera fuera de la LAN contectarse al servicio de 
administracion del router via telnet, la vulnerabilidad radica en que
la mayoria de veces este todavia tiene el password por defecto(1234)
lo que le da al atacante control total sobre el router, permitiendo
desde un DoS(via desconfiguracion) hasta un compromiso total de las 
maquinas que se encuentran en la LAN.

[Crackeando el password]

Si el password por defecto no funciona, esto no sera un gran obstaculo 
para el atacante ya que se puede crackear el password remotamente, para 
demostrar esto he creado una herramienta en C que prueba diferentes 
passwords de un diccionario.

[Extension del ataque]

Una vez que el atacante ha obtenido el password del router y este quiere
atacar a las maquinas de la LAN, lo primero que hace es descubrir que 
hosts se encuentran disponibles en la LAN, esto se puede hacer de la 
siguiente manera:

ADSL> ip ping
Usage: ping <hostid>
ADSL> ip ping 192.168.1.2
Resolving 192.168.1.2... 192.168.1.2
      sent      rcvd  rate    rtt     avg    mdev     max     min
         1         1  100       2       2       0       2       2
         2         2  100       1       2       0       2       1
         3         3  100       1       2       0       2       1

Como 192.168.1.2 esta respondiendo, el atacante ahora tiene que deducir 
que servicios se estan ejecutando en en el host, como esta parte del 
ataque se hace a ciegas se tiene que configurar en el "SUA Server Setup"
algunos puertos del hosts descubierto para que estos sean accesibles 
fuera de la LAN y determinar si se encuentran disponibles o no.

[Recomendaciones]

- Cambiar el password por defecto.
- Configurar el router para que solo se puede acceder al servicio de 
administracion y FTP desde la LAN.

[Referencias]

- ZyXEL Prestige Router Administration Interface Vulnerability
  (http://www.securityfocus.com/bid/3161/info/)

- Presige 643R User's Guide