Huawei y su pésimo cifrado compartido

La marca Huawei, el mayor fabricante de equipamiento de redes y telecomunicaciones de China y uno de los líderes mundiales en esta industria.

Además de redes y telecomunicaciones, ahora se está adentrando en el mundo de las tables y los Smartphone.

Se ha descubierto que cifra las contraseñas de sus productos de una manera muy débil.

Hay diferentes maneras de almacenar las contraseñas por parte de los dispositivos y sistemas. Una de las más comunes es utilizar un hast de la contraseña. En el momento de verificar si un usuario es quien dice ser, a la contraseña introducida se le aplica la misma función hash que se usa a la hora de almacenar la contraseña. Si la cadena resultante es igual a la cadena almacenada, se valida. Con este sistema no se guarda la contraseña en claro en ningún momento.

También es común usar “sal”, para generar estos hashes. Así, una de las entradas de la función hash seria la clave y otra la “sal”, (que solo se trata de ciertos bit aleatorios). Con esto se consigue mitigar la eficacia de los ataques por diccionario.

Huawei no utiliza ninguno de estos métodos.

El problema, descubierto es los dispositivos de Huawei usan un cifrado simétrico (algoritmo DES) con una misma clave de cifrado compartida entre todos los dispositivos (´\x01\x02\x03\x04\x05\x06\x07\x08´).

No se trata como de una vulnerabilidad, sino de un fallo de diseño por parte del fabricante por usar contraseñas comunes y no aleatorias para cada dispositivo.

Los investigadores han publicado este código en Python para extraer las contraseñas en claro.

http://seclists.org/bugtraq/2012/Nov/45

El error ha sido confirmado por la familia Quidway y en los CX600 (router y switches),aunque puede existir en mas productos afectados.

La empresa a publicado un comunicado oficial, donde se recomienda:

v  Limitar el acceso a los routers a los usuarios dentro de la red interna.

v  Gestionar estrictamente los privilegios de las cuentas.

v  Cambiar las contraseñas con regularidad.

El fabricante ha asignado es fallo al Huawei-SA-20120827-01-CX600.

 

Luis Fojo Comesaña

Anuncios

Acerca de sadcastelao

Blog Seguridad Informática

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: