Skip to main content

Jugando con SHODAN

Ayer estuvimos jugando un poco con SHODAN y me parece interesante dejar aquí plasmados algunos resultados bastante curiosos de las pruebas que fuimos haciendo. Para empezar, ¿qué es SHODAN? Es un buscador, para dar una explicación rápida diremos que en vez de buscar por contenidos como hace Google busca máquinas(servidores, routers, etc) que ejecuten el software que le especifiquemos, además permite filtrar los resultados por otros parámetros como países, puertos o versiones, en este pdf lo explican con más detalle. Un buen punto de partida para familiarizarse con esta aplicación web son las búsquedas populares, entre las que podemos encontrar algunas con resultados muy sorprendentes.


Después de un rato trasteando se nos ocurrió buscar routers, ya que con esta lista de contraseñas por defecto(o otra de las muchas que hay por ahí) para cada modelo y un poco de scripting se podrían hacer maravillas. A continuación dejo algunos ejemplos de búsquedas por modelo de router:

http://www.shodanhq.com/?q=DWL-G700AP
http://www.shodanhq.com/?q=wg602
...

Como podíamos pensar en un principio lo del scripting para probar por fuerza bruta no es necesario ya que hay demasiados con la configuración por defecto:



Hasta aquí vemos que son routers como podrían ser los de nuestra casa, la configuración por defecto puede ser por distintos motivos que pueden ir desde simples tormentas hasta que alguien lo reinició como le aconsejaron en el soporte de su ISP y no lo volvió a securizar por desconocimiento, por vagancia, por prisa... Por experiencia como clientes de más de un ISP no es extraño encontrarse que los técnicos que hacen la instalación en casas la dejen así por los mismos motivos.

Pero nos encontramos que incluso routers para cosas "más serias" supuestamente dentro de una empresa(la gente no suele tener de esos en su casa) están accesibles sin pedir ni usuario ni contraseña. Imaginemos por un momento que a alguien se le ocurriera instalar un sniffer en este router CISCO
como se explica en éste artículo, podría capturar todo lo que pasase por cualquiera de las interfaces del router. Viendo las pocas molestias que se toman en cambiar las contraseñas y con todo lo que permite hacer un router de este tipo(crear VPNs por ejemplo) mejor no pensar en lo que se podría hacer desde aquí.


Por si todo esto resultase poco sorprendente pensamos que pasaría con los sistemas de video-vigilancia, ¿estarían también expuestos con contraseñas por defecto? Pues parece que más de lo mismo, probamos con sencillas búsquedas como las siguientes:




Y vemos que obtenemos multitud de resultados, las contraseñas por defecto de estos sistemas son un poco más difíciles de encontrar y no se si hay alguna lista parecida a la de antes pero en los manuales del producto o sitios como foros de los propios fabricantes no lleva mucho tiempo.




Eso de que nos puedan estar grabando(tanto en el trabajo como en tu propia casa) y retransmitiendo por internet "casi" en abierto no creo que le haga mucha gracia a nadie, sin comentarios...

Carlos López
Jesús Pérez

Popular posts from this blog

ISO 27001: Inventario de los activos de información

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que

SIP extension enumeration in Bluebox-ng

There are some well known SIP extension enumeration vulnerabilities in different VoIP servers, specially in Asterisk. This brute-force vector is based on the study of the authentication responses of the target server. Sometimes its replies are different in the case that the client uses a valid extension, so it's easy to discover them. This vector is normally classified as a low security risk. Moreover we're moving towards a federated SIP environment , in which the extension is the public email address of the user. But it's still important in some cases: To guide next steps during a penetration test. In example, you can use the discovered extension to reduce the number of attempts in the phase of SIP extensión brute-force. Some RCE (Remote Code Execution) exploits need a valid extension to work. After a little research, these are the known vulns: CVE-2009-3727 : It's quite old and it's practically not present in real environments. It's still not imple

SIP INVITE attack with Metasploit

Some days ago my friend  @pepeluxx  wrote  another post  about INVITE attacks. He spoke about a  @sinologic   project  which allows to everybody passing some security tests to SIP servers. Furthermore he also published a perl script to do the same task. So I implemented it on Metasploit because I think It could be really useful during a pentesting. It’s interesting because these attacks are really dangerous, normally, attackers try to call to expensive locations. This target numbers often have special charges and they make money with this. Here there are two well known examples: http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html http://snapvoip.blogspot.com.es/2009/02/calls-to-cuba-and-voip-attacks.html I’m not going to deep in this vector because of being a well known (and old!!) one. Basically the attacker tries to make a call using a misconfigured PBX. This is allowed because  SIP RFC  says that an extension has not to be registered to be abl