¡Lleno, por favor! Gasolineras.

Recientemente, auditando la red de un cliente se detectó un router Huawei de Vodafone, el cual estuve echando un ojo a conciencia porque es de sobra conocida la calidad de los routers con la que los ISP (todos) pretenden que te conectes a la ADSL o Fibra, vi que algo no funcionaba como debiera.

Logueandome con password por defecto (no la tenía cambiada) intenté lo típico, loguearme, y desloguearme metiendo el burpsuite por medio para ver si las peticiones previas que había hecho, las validaba o se las saltaba a la torera.

Efectivamente, se las saltaba a la torera. Se me ocurrió que sería posible escanear “internet” para localizar router similares y poder crear un script que recopilara la información. Obviamente no lo iba a hacer pero la idea parecía buena hasta que buscando info del equipo vi que ya se me adelantaron y hace bastante tiempo.

Ya existía un script que creó Vicen Domínguez ( https://github.com/vicendominguez/http-enum-vodafone-hua253s/blob/master/README.md ) a raíz del descubrimiento, del mismo autor, del fallo de seguridad de estos routers (gracias por las referencias en twitter chicos!!) que podemos leer en https://packetstormsecurity.com/files/134522/Huawei-HG253s-V2-Information-Disclosure.html), por lo que llegué bastante tarde a este caso.

Pero el post no va sobre este tema, el cual es muy interesante y extendido (yo tengo un router de pruebas de este tipo y es bastante divertido darle caña).

No obstante, buscando por Shodan (del que todos habréis oido hablar), para ver posibles indexaciones de estos routers, de forma casi instantánea (no más de 5min), se me «cruzó» un resultado que me sorprendió un tanto:

Había al menos una “gasolinera indexada» y aparecía dantos de los tanques de combustible. No puede ser. Pues sí.

Usando la palabra «tank» en inglés.

Usando el término «gasoleo b».

Echando un vistazo, vi que utilizaba el puerto 10001 y que estaba abierto para todos además de no ser el único caso. Filtré por puerto y luego por palabra clave y aparecian numerosas estaciones de servicio con sus puertos publicados.

Indagando un poco por la red encontré un manual bastante interesante a la par de peligroso: https://www.ericzhang.me/wp-content/uploads/2015/01/576013-635.pdf

Portada del manual

En dicho manual, se encuentran códigos y acciones para interactuar con el software controlador de los tanques de combustible. Tremendo. Desde resetear, hacer test, quitar alarmas, estado, temperatura, etc…

Además la conexión se realiza mediante telnet, CTRL+A y el código pertinente, sin password ni nada ¿para qué?. No he llegado a probarlo porque ciertamente da respeto pero parece ser que la inmesa mayoría de puertos sigue activos.

Como veis, una simple investigación llevó a toparme con unas “gasolineras” indexadas en shodan ¿Qué me decís de los que verdaderamente tengan intenciones oscuras u otros motivos delictivos? Sin duda es un peligro absoluto.

Como veis, la seguridad informática es cosa de todos. Además, la labor informativa y de concienciación en todas las edades, es fundamental para al menos, poder implantar medidas de seguridad básicas al menos y que dificulten la posible labor delictiva.

Espero que os haya resultado curioso a la par que sirva para recordar los peligros de la in-seguridad de la que todos en mayor o menor medida, debemos ser conscientes.

Disclaimer:

Vistos algunos comentarios (constructivos eh!jeje) que me habéis dejado en twitter, tengo que poneros aquí un par de enlaces de dos autores que ya hace dos años hicieron un artículo también que trataba estos temas.

Además, se puede apreciar el trabajo e investigación más profundo sobre este tema en ambos artículos. Este post fue realizado ayer a raíz de unas pruebas que realicé por la mañana sobre el router huawei y de ahí «reboté» a las gasolineras buscando patrones de huawei por Shodan (Censys, etc..) y de ahí a este post-express del que no me basé en búsquedas relacionadas en buscadores (mea culpa, sorry!).

La conclusión no cambia, es más, sale reforzada. Al menos dos años después siguen estando los mismos «fallos» aunque este tema es un poco espinoso y que seguiré muy de cerca.

Gracias a todos por las interacciones, así da gusto!

Kino (23-03-2015): http://kinomakino.blogspot.com.es/2016/03/conpot-gasolineras-scada-honeypot-y.html

Amador Aparicio (25-03-2015): http://www.securitybydefault.com/2015/03/hasta-la-cocina-de-las-gasolineras.html

 

@ManoloGaritmo