Módems de Claro Nicaragua, vistos en Internet y con Password por Default!

Para nadie es una novedad que la seguridad informática en Nicaragua no es el fuerte de muchos, y es por esa razón que cuando hablamos de "Hacker" o hackeos se imaginan un broder tipo "Elliot Alderson" en la serie Mr. Robot, el Neo de la Matrix... es realidad y ficción al mismo tiempo.

Los errores que son explotados en Nicaragua se dan por falta de interés en la seguridad informática de parte de las compañías y organizaciones, esto trae malas prácticas en programación, configuración y mantenimiento que puede ser causa de explotación masiva y filtración de información sensible.

Un hacker no pierde tiempo "hackeandote" a ti... eso ya lo hacen las botnets automatizadas, una computadora programada para explotar lo que esté a su alcance y en internet... y por una mala configuración, tus equipos o dispositivos IOT pueden llegar a formar parte de una botnet y todo es posible cuando tienes miles de computadoras haciendo trizas a todo lo que encuentra mal configurado.

Luego del intro bien bestial, nos vamos al ojo que todo lo ve en internet de Nicaragua... Bemburn. En el estudio, identificamos +58 dispositivos conectados a internet en Nicaragua con interfaz de módem ZXHN H108N V2.5 de la compañía ZTE que instala Claro Nicaragua cuando vende su servicio, en su mayoría, hay dispositivos que exponen su interfaz de acceso, no es algo extraño ya que una contraseña segura y verificada con un segundo método de autenticación, puede mantener todo bien, el detalle está en lo masivo del servicio y el interés de quien hace el trabajo de instalación, que debe garantizar el no utilizar claves por default.



Interfaz de módem residencial y empresarial

Varios de esos dispositivos y otros tipos de dispositivos pueden ser vistos y configurados si se obtiene el usuario y contraseña respectiva.

Ventana de bienvenida cuando se tiene acceso al módem
Las claves por default "c1@r0" y "Cl@r0" como por ejemplo, funcionan en prácticamente todos los módems ZTE de ésta compañía y existen dispositivos que aún poseen sus claves por default y se puede acceder desde internet.

SSID del módem de Guapollón, sucursal Villa Miguel Gutiérrez

Aquí vemos un ejemplo "Claro" en la compañía Guapollón, que seguramente no tienen una sola idea que su módem puede ser visto desde internet y que además, está con claves por default... se puede modificar los DNS y muchos otros truquitos más
!
Tengo mi teoría para éste detalle de módems vistos desde internet, muy probablemente tienen y sistema que necesita IP estática para ser visto por el servidor o sistema central en cada sucursal, pues Guapollón son 6 los servicios expuestos y con claves de acceso por default, eso no es casualidad.

Asignación de direcciones IPv4 en módem expuesto con clave por default

Considero que Guapollón tiene alguna relación con Tip-Top en la teoría del sistema, ya que tambien 3 o más módems de Restaurantes Tip-Top que estan expuestos a ser administrados con claves por default, por eso mi teoría toma fuerza.

Fin.

Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo

Hackeando WiFi de Claro Nicaragua

El WiFi de tu casa o compañía nunca ha estado tan en riesgo como ahora donde el poder de las nuevas tecnologías van en aumento, es posible nada más mediante una aplicación explotar diferentes vulnerabilidades como la que voy a explicar aquí...

El Wi-Fi Protected Setup (WPS) proporciona un mecanismo externo de intercambio de PIN para autenticación, eso lo hace susceptible a ataques de fuerza bruta y con ello obtener acceso a la red Wi-Fi cifrada.

Por default, los módem que está instalando Claro de Nicaragua (Casualidad siempre Claro de Nicaragua) para hogar y corporativo vienen con autenticación WPS activa, esto significa que un usuario puede con una aplicación de autentificación WPS, utilizar PIN por default o realizar un ataque de fuerza bruta y anclarse a la red inalámbrica en si, donde el PIN en concreto es "12345670" por defecto para todos los módem Technicolor modelo CGA0112.


Módem Technicolor con WPS activado y AccessPoint PIN.


En Play Store de Google podemos encontrar una variedad de aplicaciones que permiten realizar autenticación WPS y ataques mediante fuerza bruta.

Aplicaciones para autenticación de red con WPS activo.

WPSApp es una aplicación para iniciar sesión en redes WiFi con autenticación WPS, la WPSApp cuenta con mas de 50 millones de descargas.

 

WPSApp realiza un scan y muestra las WiFi con WPS activo, seleccionando la red que se desea accesar, se puede usar un PIN default "12345670" o un ataque de fuerza bruta utilizando varios PIN por hasta dar con el que permita accesar a la red WiFi 

En el siguiente video, es una muestra real sobre una red WiFi con WPS activo y PIN por default "12345670", módem Technicolor modelo CGA0112.

 

Los accesos con claves por default es una de las vulnerabilidades más comunes y en especial cuando los servicios son masivos, es importante checar tu módem y verificar si estas con el WiFi con WPS, de ser así, en el panel de administración del módem podrás desactivar la opción de autenticación WPS.


Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo

Resultados del Analisis a 89 Sitios Web WordPress en Diferentes Industrias Nicaragüenses

Realicé un analisis a 89 sitios web WordPress pertenecientes a diversas industrias en Nicaragua, esto con el fin de determinar el tiempo tra...