EDICIóN GENERAL
210 meneos
2765 clics
Descubren un gran fallo de seguridad en el Wi-Fi del router Sercomm H500-S de Vodafone

Descubren un gran fallo de seguridad en el Wi-Fi del router Sercomm H500-S de Vodafone

El router Sercomm H500-S es un nuevo equipo que está proporcionando el operador Vodafone desde hace unas semanas. Este nuevo router sirve tanto para las conexiones xDSL como también para FTTH, ya que tiene tanto un puerto WAN DSL como un puerto WAN Gigabit Ethernet. Ahora han descubierto un grave fallo de seguridad en su red inalámbrica al activar el “Programador Wi-Fi“, dejando tu red expuesta a cualquier intruso.

| etiquetas: seguridad , wifi , router
Sin desmerecer la noticia, pocos routers son infranqueables. Con linux y paciencia todo es posible.
#1
En todo caso con GNU.
#2 ¿También corriges a la gente cuando dicen Kleenex en lugar de pañuelos de papel? o ¿"Voy a echar gasolina" en lugar de Gasoil/Diesel?
#4 O voy a echar un polvete en lugar de me la voy a cascar... jajajaja
#5 xD crack!
#4
Obviamente, sí.
Por otra parte entre GNU y Linux no hay metonimia posible.
#2 Ahí has patinado, muchos routers son Linux sin GNU. Usan aplicaciones integradas del tipo Busybox.
#24
Siguen siendo GNU porque Busybox está compilado contra GNU.
No he patinado en absoluto.
#27
Vaya, se me pasó el tiempo de edición. Información que consideraba interesante:

De lo que hablaba en mi comentario es que el usuario utilizará GNU para asaltar el router, no que el router lleve GNU. Que por otra parte resulta que también: wiki.openwrt.org/toh/vodafone/vodafone_station_revolution (mega.nz/#!h4I1zTbK!_mEoQalsgvYXnUyuoEBasY_evmMRWaeyz0BpBRhNOqw)
Ulibc y ulibc++, libsigcxx, gdb, ntfs, ntfs-3g entre otros.

En cuanto a Busybox, normalmente está compilado contra…   » ver todo el comentario
#28 No por estar compilado con GNU es GNU...
#29
En eso estamos de acuerdo.
#2 En todo caso... con lo que te salga de los cojones. Ni que no hubiese herramientas de hackeo hechas en Visual Studio o Xcode.
#33
Me importa un pito.
Relación GNU<->Linux.
El software privativo debería estar prohibido.
#1 No sé si te has leído la noticia, pero en este caso, si el usuario activa la Opción de que la wi-fi se encienda o apague a ciertas horas, lo cual paradójicamente se suele hacer por seguridad, no haría falta ni linux ni paciencia.
#3
Bueno, es que Linux no entra en juego en ningún momento.
#7 Entonces aclarame la duda...
wikidevi.com/wiki/SerComm_H500-s

Lleva GNU o lleva Linux?
#8 Lleva GNU/Linux, porque usa el kernel de Linux y herramientas de GNU. Aquí la prueba: wiki.openwrt.org/toh/vodafone/vodafone_station_revolution
#8
Lleva GNU con Linux.
Y lo que usas para asaltar sistemas es GNU, que es multinúcleo.
#23 y quien te ha dicho que yo asalto sistemas?
Pepa, eres tu cariño? Prometo no cifrar mi home con luks nunca mas, te doy el password y te creo acceso directo a /home/deltonos/mis_imagenes

Pasando de bromas, gracias por la aclaracion.
Es un fallo tan gordo que cuesta creer que no lo detectaran antes del lanzamiento.
#10 hoy en día cuesta encontrar becarios cualificados
#10 veo que hice bien en desactivar las dos wifi del equipo.

Solo lo uso de router, tengo un par de routers baratos con dd-wrt para el WiFi.
#18 Según la noticia, también podías haber dejado el WiFi activado las 24h, con una buena contraseña, y dejarte de paranoias que si desactivarlo por la noche o chorradas parecidas.
#34 paranoia de que? Tengo dos routers que me dan mejor servicio de WiFi, para que voy a usar ese?
El auténtico problema de seguridad es contratar algo con Vodafone.
Sólo uno? No han mirado bien.
Yo uso una simple app de Android que se llama WPSapp que aprovecha la vulnerabilidad del WPS y 1 de cada 4 veces encuentro algún wifi y me conecto.
Tener el WPS activado en el router es un suicidio.
#13 El peligro es tener el WPS con el pin numérico activado, al menos en Vodafone hace tiempo que esto no funciona. Solo funciona pulsando un botón o activando la conexión desde el entorno web del router.
#13 No te fíes de las redes semiabiertas, muchas son para que entres y tengan todos tus pasos. MiM
#21 Tampoco te fíes de las abiertas, ni de las cerradas... ni siquiera de la tuya propia. El cifrado de las conexiones no es opcional.
¡El premio gordo!. Tengo ese router y efectivamente activaba esa función por las noches. No obstante intento reproducir el bug y no me sale. Uso el wifianalyzer. He probado siempre con la programación activada, pero tanto si es hora de tener el wifi encendido como apagado, no me sale por ningún lado la red "Quantenna"
#16 Pone que está solucionado. ¿Que versión del firmware tienes?
#19 La 3.4.04. ¿Donde has visto tú que está solucionado?
#25 en la noticia. En el título aparece como 'solucionado', claro que también dicen que tu versión es la que está afectada...
#26 Te contesto y me contesto. Leyendo lo que pone un usuario de esa página, lo corroboro: tu puedes elegir el horario en el que el wifi esté activo o en el que esté inactivo. Si usas la segunda opción (la que uso y seguiré usando), no sale ninguna red "extra". Si lo programas al revés, es decir, marcas como activo el tiempo del wifi, sí que aparece la famosa red "Quantenna". Realmente una cagada muy gorda y que me cuesta creer que haya tardado tanto en descubrirse. Cuando tuve Euskaltel, pensando (inocente de mí) que lo del Wifi Kalean era otra cosa, tardé muy poco en darme cuenta de que era mi router el que generaba una segunda red.
No cabían más acrónimos en la entradilla. WTF.
Cómo he leído en un foro... Ahora que se ve alguna demanda por descargas está bien que haya bugs públicos y demostrables.
Hola

Efectivamente, aun No esta solucioinado, la version del firm sigue siendo la misma. y como comentan El bug solo se produce cuando se programa el tiempo de actividad y no el de inactividad, como creimos en un principio
#0 Relacionada aunque esta nueva vulnerabilidad permite filtrar información de la memoria del router: niemand108.wordpress.com/2018/02/08/vulnerabilidad-en-el-h-500-s-de-se
comentarios cerrados

menéame