BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Bug en OCR812 permite acceder a cualquier puerto

Joshua Llorach

BugTraq publicaba ayer el envío de Ismael Briones (del dpto. internet El Mundo) en el que describe una nueva vulnerabilidad del router 3Com 812.

Esta vez se trata de un extraño comportamiento del protocolo PAT (Port Address Translation), utilizado habitualmente para redirigir un puerto a un ordenador de la red interna. El problema reside en que en el momento posterior a establecer una conexión con un puerto redirigido con PAT, el router permite la conexión con cualquier otro puerto que habitualmente esta cerrado. De esta forma, simplemente habría que hacer un intento de conexión a un puerto PAT cada pocos segundos y mientras tanto tendríamos acceso libre al resto de puertos para realizar scaneos y otros intentos de conexión.

Se ven afectados los firmwares 1.1.9 y 1.1.7. De momento la única solución es desactivar PAT o instalar un firewall, ya que 3Com no dispone de ningún parche.

Reportado por Crown en el foro de Hack|Seguridad

Email aclaratorio de Ismael:

Hola:
Tras investigar un poco, he comprobado que el problema es debido a
que se encuentra activado por defecto la opción Intelligent Nat, lo que
permite que a partir de una conexión válida, el resto de conexiones desde la misma ip sean aceptadas y redireccionadas a la misma ip interna a la que se redireccionaba el puerto inicial.
Deshabilitando esta opcion en el router se soluciona el problema. He
mandado el mensjae a bugtraq, pero aun no lo han publicado.
Saludos

Actualizado con email de Ismael

💬 Comentarios

1
muchod

Esa vulnerabilidad no es tal, se trata del 'Intelligent-NAT' o 'Intelligent-PAT' activado (por defecto esta activado). Esta caracteristica y como activarla y desactivarla se encuentra documentada en la version 2.0 del manual CLI.

🗨️ 7
BocaDePez
BocaDePez

No se si se puede caracterizar de vulnerabilidad o no... no entro en esas cosas.

Pero el Modelo que Telefonica instala en España, la versión más avanzada "oficial" de firmware es la 1.9, con lo que si se instala la versión 2.0, aunque funcione, puede tener efectos colaterales....

🗨️ 5
BocaDePez
BocaDePez

La funcion 'Intelligent-NAT' tambien esta presente en la version 1.1.9 (y creo que en la 1.1.7). Aunque no esta documentada en el manual CLI. Si haces:

show vc nombre_vc

veras si lo tienes activado. Como esta activo por defecto seguro que lo tienes.

Para desactivarlo:

set vc nombre_vc intelligent_nat_option disable

grabas y reinicias.

En cuanto a que la version 2.0 no es para el modelo Europeo no se que decirte. Yo la uso desde que salio. Parece ser que al incorporar encriptado fuerte en el VPN puede tener porblemas para ser exportado al mercado Europeo (debido a las absurdas leyes de USA) pero funciona sin problemas (al menos a mi me funciona).

🗨️ 4
bardus

no tengo claro lo q es eso del nombre_vc y no se como mirarlo.

otra cosa.se puede desactuvar desde la interfaz web?

thx

🗨️ 1
muchod

nombre_vc es el nombre de la 'Virtual Connection' que usas. Por defecto Terra/Telefonics usa el nombre 'internet' pero puedes verlo usando:

list vc

y el comando final seria:

set vc internet intelligent_nat_option disable

salvar y reiniciar.

No se puede hacer via web.

f3l1n3

Yo me estaba asustando ya XDDD

Os confirmo ke en la versión 1.1.7 del firmware tb están disponibles esas opciones.

whisper

Cuando leí tu comentario me fui a 3com.com del tirón para bajarme el firm 2.0 y ver si es verdad que rula (ya que sabeis q 3com excluye explícitamente todas las versiones de router que no sean la 3CR414492)

Sin embargo funciona! Y si leemos atentamente ese documento que todos aceptamos sin leer cuando nos bajamos algo xD pues... indica que efectivamente ese firmware no se puede usar en paises que esten en las denial list oficiales de usa como son Cuba, Afganistán, Irak y otros.

Tambien indica que no puedes reexportar el firmware y tal y tal pero... de que no se pueda usar en Europa nada. 3com excluye los router de referencia anterior por cuestiones seguramente relacionadas con el soporte y otras para cubrirse las espaldas o por cuestiones "inconfesables" pero el caso es que... funciona! :-)

Salud

Crow

El problema está en que un usuario crea que su red está protegida redireccionando solo los puertos que le interesan estén en la parte pública, y habilite un FTP para su propia LAN(por ejemplo).

Un atacante podria localizar dicho puerto, en principio capado por el router, y hacer estragos en el servidor.

De todas maneras sostengo que es un bug cuando se desconoce la existencia de "Intelligent-P/Nat", y esto demuestra que siempre hay que leerse el manual de cabo a rabo antes de nada y por seguridad.

Un saludo a todos

www.seguridadysistemas.com

WiLZy

Os pego la respuesta de Antonio Martos (colaborador de Terra) en las news terra.adsl:

> Se trata de un extraño comportamiento del protocolo PAT (Port Address
> Translation), utilizado habitualmente para redirigir un puerto a un
> ordenador de la red interna. El problema reside en que en el momento
> posterior a establecer una conexión con un puerto redirigido con PAT, el
> router permite la conexión con cualquier otro puerto que habitualmente
esta
> cerrado. De esta forma, simplemente habría que hacer un intento de
conexión
> a un puerto PAT cada pocos segundos y mientras tanto tendríamos acceso
libre
> al resto de puertos para realizar scaneos y otros intentos de conexión.
Eso es INAT o Intelligent NAT, es una opcion de NAT. Esta documentado en la documentacion (actualizada) del router.
>
> Actualmente 3Com no dispone de ningún parche para este bug, así q la única
> solución puede ser desactivar el PAT (Port Adress Translation) o instalar
un
> buen firewall ;-)
Porque no se trata de un bug sino de una caracteristica. Se puede desactivar iNAT si no te interesa.
No obstante la recomendacion de instalar un firewall es buena
independientemente, ya que NAT en general no es un mecanismo de seguridad ni un firewall.

🗨️ 4
QMD

vaya me ha salido un pareado... jejejeeee

bien a lo q vamos, acabo de hacer telnet al router pues me he acojonao con esta noticia y al listar el vc no me salen esos valores, uufffff... menos mal, claro si estoy en monopuesto xDD.

acuerdense de los usuarios q tambien estamos en monopuesto q luego nos pegamos los sustos.

saludos

🗨️ 2
BocaDePez
BocaDePez

Perdonar mi ignorancia, pero prefiero preguntar y salir de ella.

Entonces los usuarios que tenemos este router en MONOPUESTO, ¿NO NOS AFECTA?.

¿SOLO AFECTA AL TENERLO EN MULTIPUESTO?

Espero que alguien que sepa del tema, (que en este weblog abundan) me aclare estan gran duda.

Nota: Abstenerse comentarios hironicos y jokosos.

Gracias

🗨️ 1
Luke

el comportamiento del Intelligent NAT es redirigir más puertos de los que debería, con el router en monopuesto los redirecciona directamente todos xD así que por eso se necesita firewall.

Luke

pero vamos a ver....

NO HACE FALTA DESACTIVAR NAT NI NADA! solo hay que desactivar el intelligent NAT (o intelligent PAT en la firmware 2.0)

Y el PAT es suficiente seguro si esta BIEN configurado, y NO hace falta firewall.

BocaDePez
BocaDePez

Bueno soy MrBunbury, algunos me conocerán y tal, pues nada os voy a pastear una noticia que ha mandando Tami a adslayuda.com y que no es otra cosa que la opinión de Antonio Martos sobre este Bug que como veréis no es tal cosa:

(link roto) Tami escribe: El gran guru Antonio Martos nos ha enviado el siguiente post al grupo de news: "terra adsl":
Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en
otros foros y paginas web y está apareciendo como algo nuevo...
Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:
Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)
Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas
bien a que se le pueden poner filtros, como a cualquier router.
Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado
para dejar pasar conexiones, no para impedirlas.
NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.
En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un
ataque, el router considera todas las conexiones que vengan de B como
destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y
las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto
de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT
dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que
sin iNAT no funcionan o necesitan una configuracion especial.
Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es
en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en
casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,
pero nunca confiar en que NAT va a filtrar conexiones.
Por favor, corred la voz o referid estos mensaje si veis algun sitio donde
se habla del "nuevo bug" del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.

🗨️ 11
Luke

joder, este tema empieza a ser pesado, a ver si ese Antonio Martos es capaz de explicarme para qué cojones sirve un firewall cuando tienes NAT activado y iNAT desactivado... el NAT no deja pasar NINGUNA CONEXIÓN DESDE FUERA a no ser que lo hayamos configurado en el router, y estando iNAT desactivado claro. Yo lo he tenido asi un huevo de tiempo, con firewall activado, y NO HA PASADO NI UN PUÑETERO ESCANEO A MI RED LOCAL. Al final he quitado el firewall, en mi opinión es que cuando tienes NAT activado para lo unico que sirve es para ralentizar el ordenador comiendo recursos. Es una tontería en conclusión...

y he estado viendo esa adslayuda.com.... las ideas que tienen no son muy claras que digamos..

🗨️ 10
BocaDePez
BocaDePez

Haber en primer lugar demuestras que no tienes ni p*** idea porque no sabes ni de lo que hablas, el caso es que hablas por hablar pero en fin.... otra cosa, en adslayuda me puedes decir que ideas no están claras o no tenemos claras? Vamos no se como te atreves a decirte que no tengo las ideas claras XDDD Si quiereres postea algo en la web y debatimos haber que claras tengo las ideas majete.

* En resumen pasa del tema del Bug, pero no trates de comprenderlo porque de donde no hay no se puede sacar

MrBunbury

🗨️ 2
BocaDePez
BocaDePez

Hola muy buenas soy un colaborador de www.Adslayuda.com,en refente a lo que dices Luke,creo que el confundido y equivocado eres tu señor mio.Si lees detenidamente el post que dejo Tami veras como todo esta muy bien explicadito,pero claro es muy largo y aburrido para leerlo ¿no?,ya se, tu oyes pajaros y quieres que te soluciones las cosas los demas ¿verdad?,por que aprender que es bug,firmware etc,es muy aburrido y claro venimos cansados del curro para eso ¿no?.Lo unico decir que por favor no tireis por tierra los trabajos de otra gente,ni en este pagina ni en otras,por que hay gente detras currandoselo para todos aquellos que se inician en estos temas,y encima estan hay sin animo de lucro.Un saludo a todos,para ti otro Luke.

Mard1.(Mardi)

🗨️ 1
BocaDePez
BocaDePez

ok, bien, si tengo tan poca idea por favor decidme qué uso tiene un firewall cuando se tiene NAT activado.

Y no me digáis para controlar las aplicaciones que salen a internet, que eso ya lo sé.

*sigh*, sé que me debía de haber moderado un poco antes, ya me imaginaba que tendría respuestas similares (este post también tendrá respuestas tipo 'ahora te disculpas no??' pero que mas me da ya) pero es que echando un vistazo a adslayuda me encontré por ahi que decia que la firmware 2.0 no tenia aplicacion para crear filtros, y no me parecía correcto... aun así me disculpo ahora, aunque sea inutil ya

soy Luke, pero estoy en otro ordenador y no tengo la cookie.

muchod

NAT esta diseñado para dar acceso a varios equipos utilizando una o mas IPs, asi que es un sistema diseñado para permitir acceso no para impedirlo (como dice Antonio). NAT funciona de manera similar a un cortafuegos PERO solo para el trafico entrante. Si alguno de los equipos de tu red tiene un troyano/bot/etc... que inicia la comunicacion con el exterior NAT la va a permitir pues es trafico saliente.

Ademas un cortafuegos personal moderno controla individualmente cada una de las aplicaciones, permitiendo abrir los puertos unicamente cuando tienes algo escuchando en ellos y no siempre. Permite definir las IPs de los equipos con a los que permites entrar, salir, etc... Es un sistema diseñado para seguridad y no para permitir la comunicacion (como NAT).

Al final es cuestion de preferencias personales: Hay gente que instala alarmas en los coches aunque estos ya tienen cerradura que impide el robo....

Saludos,

🗨️ 2
BocaDePez
BocaDePez

joer, por algo será que la gente dice que estoy cabreado cuando no lo estoy.... que asco de caracter tengo, debe ser la edad :p lo siento por todos, pero las mayusculas no las quería poner como para estar gritando...... en fin, lo siento de veras, acababa de llegar del insti y había tenido un examen que no habia sido lo mejor del curso.

solo 1 duda sobre este comentario... los troyanos se quedan escuchando en un puerto, o abren conexiones al exterior? creia que se quedaban escuchando con lo cual el router bloqueaba, pero me equivoco?

soy Luke en el ordenata sin cookie otra vez

🗨️ 1
muchod

Hay varios troyanos que lo que hacen es abrir conexiones al exterior, por ejemplo a conexiones a servidores IRC donde el 'pseudo hacker' que suele ser un niñato ha abierto un canal privado con password y donde entran todos esos bots que hay instalados en los ordenadores infectados. Desde ahi pueden dar ordenes a los equipos infectados.

Hace unos meses el servidor de Steve Gibson ( grc.com/intro.htm ) sufrio un ataque DoS y lo documento, estaba siendo atacado desde cientos de ordenadores infectados con esos bots ( (link roto) ).

Ademas de los troyanos, estan los programas spyware, o simplemente puedes querer evitar que ciertos programas envien informacion a algunos sitios, etc...

Saludos

BocaDePez
BocaDePez

A ver figura. Dado q eres muy listo, muy inteligente y q te enervas con facilidad no sere muy extenso en mis lineas. La gente suele meter la pata cuando habla de algo q no sabe pero es peor cuando la gente habla de algo q es consciente q no sabe y aun asi sigue hablando, este es tu caso. Por eso a ver si dejas de hablar tanto, te informas mas un poco del tema y luego a partir de hay podemos empezar a debatir en cualquier foro. Para empezar Antonio Martos parece tener bastante mas conocimientos q tu sobre el tema y cuando dice q no hay un firewall en el router es q no hay un firewall, cosa q debido a tus extensos conocimientos ya deberias saber. Ya q no es lo mismo el FILTRAR una informacion q tener un puerto cerrado. Asi q sobre lo de tener las ideas aclaradas, bueno hay q pensar q para tener ideas y defenderelas te tienes q asegurar de estar sobre lo cierto, cuando tu creas estar sobre lo cierto tendras alguna idea y a partir de hay conseguiras decir algo con coherencia. Ok?

Bueno ya no os hago leer mas. Ahh "activado y iNAT" jurl no te enseñaron de pequeño q cuando despues hay una i se pone e? bueno hasta luego gente.

Judas2002.

🗨️ 3
BocaDePez
BocaDePez

Se que no viene al tema... pero antes de mirar la joroba de los otros mirate la tuya... que el foro no es de clases de ortografía.

Bueno ya no os hago leer mas. Ahh "activado y iNAT" jurl no te enseñaron de pequeño q cuando despues hay una i se pone e?

A ver si en esta frase que has escrito tu, encuentras alguna falta vale??

Por eso a ver si dejas de hablar tanto, te informas mas un poco del tema y luego a partir de hay podemos empezar a debatir en cualquier foro

Saludos, y perdón por las clases de ortografia.

🗨️ 2
BocaDePez
BocaDePez

Mira tío soy compañero de judas2002 y por supuesto ni eres quien para darle clases de ortografía ni creo que las necesite porque creo que el bachillero lo pasó hace tiempo. En cuanto a los conocimientos referidos a el ADSL cuando quieras podemos tener una charlita en #adsl_ayuda que allí solemos estar, porque aquí no sé de que te las vas dando ya que nosotros no presumimos de saber de ADSL y lo único que hacemos es intentar ayudar y plasmar nuestros conocimientos

BocaDePez
BocaDePez

Mirarse la joroba. Pues como no dispongas de un espejo tarea complicada eh?.

Bueno todo viene a q ¿No teniamos la ideas claras?.

Respondiendo a eso. Como ha dicho mi compañero no eres quien para evaluar nuestros conocimientos sobre la materia, ni tampoco me quiero poner a discutir sobre quien sabe mas si TU o nosotros. Lo unico q se es q nosotros ayudamos a la gente a resolver sus problemas con la linea ADSL, lo cual no quiere decir q tu no lo hagas y si lo haces FELICIDADES. Dada la experiencia q vamos adquiriendo en esta rama de las conexiones a internet, me parece muy falso por tu parte el q llegues a decir q no tenemos las ideas claras no es q seamos eruditos pero algo sabemos sobre el tema.

Ahhh y antes de mirar la joroba de los otros mirate la tuya..... a ver si TU tienes las idas claras.

P.D. No digo mas "ideas claras" pq seguro q me criticas de redundancia.

BocaDePez
BocaDePez

El figurín se ha callado. será que ya no tiene las ideas claras. O si? un saludo pa tos los de ba y por suspuesto pa los de AA XDDD

BocaDePez
BocaDePez

Os pongo un trozo de texto que lei por aí que habla sobre este tema y lo de desactivar el iNat o no que creo que es interesante que leais entero:

....

Unas aclaraciones más, puesto que veo que se esta extendiendo la paranoia en
otros foros y paginas web y está apareciendo como algo nuevo...
Primero: Sea lo que sea no es nuevo, ya hablamos en este grupo varias veces del tema de iNAT, NAT y sus peligros inherentes, o mejor dicho, porque no es peligroso en si, sino la falsa sensacion de seguridad que produce que algunos piensan que NAT equivale a un firewall y como aparentemente los puertos aparecen cerrados, se confian pensando que tienen un firewall.Lo explique hace algún tiempo aqui:
Asi que no tiene sentido alarmarse ahora, no es nada nuevo (ni es un bug)
Cuando el fabricante dice que el 3com 812 actua como firewall se refiere mas
bien a que se le pueden poner filtros, como a cualquier router.
Lo he dicho muchas veces: NAT NO ES un mecanismo de seguridad, esta diseñado
para dejar pasar conexiones, no para impedirlas.
NAT (Inteligent NAT) es solo una version de las multiples implementaciones de NAT que hay, que toma sus propias decisiones sobre dejar pasar conexiones entrantes. En particular si le llega una conexion y se puede suponer a quien va dirigida (porque ha habido una previa en otro puerto), la redirije al ordenador que crea conveniente.
En particular con iNAT si un ordenador A de la red local conecta con un ordenador B de internet, a traves del router, por ejemplo, visitando una pagina web alojada en este, si B intenta conectar con A o le lanza un
ataque, el router considera todas las conexiones que vengan de B como
destinadas a A, salvo que tenga explicitamente indicado algo al respecto, y
las reenvia, logicamente, a A. Como se evita esto? Con un firewall en el ordenador y no confiando equivocamente en que el router nos protege a menos que se le configuren reglas de filtrado especificas. Este es el comportamiento normal y correcto
de un router, y de NAT, dejar pasar conexiones, y futuras versiones de NAT
dejaran pasar aun mas cosas, y gracias a eso funcionan algunos programas que
sin iNAT no funcionan o necesitan una configuracion especial.
Estoy leyendo recomendaciones de desactivar iNAT (por supuesto todo esto es
en multipuesto, no en monopuesto). Bien, pero es un poco peregrino salvo en
casos muy especiales, porque precisamente es una caracteristica muy util, y ademas no soluciona gran cosa. Lo que hay que hacer es, si uno quiere seguridad, poner un firewall por software en el ordenador u ordenadores, o un firewall por hardware intermedio, o bien configurar las reglas de filtrado (limitadas) del router,
pero nunca confiar en que NAT va a filtrar conexiones.
Por favor, corred la voz o referid estos mensaje si veis algun sitio donde
se habla del "nuevo bug" del 812, yo ya he dado parte a Bugtraq, asi que espero que se anule pronto el rumor.
espero que os sirva un saludo

1