[HACK] vulnerabilidad en los 3com 812

Tue Mar 4 13:32:06 CET 2003

El 3 Mar 2003 a las 10:27, usunoi escribió:

> bien pues yo entendi que tenia que haver una "ruta estatica" en el router para
> poder explotar la vulnerabilidad y como no era el caso pues pase bastante del
> tema pero el otro dia me llego otra noticia por la misma via sobre una nueva
> forma de spam utilizando el servicio de mensageria de windows y venia este
> enlaze http://www.mynetwatchman.com/winpopuptester.asp para comprobar si somos
> vulmerables y de hecho lo era lo que no me entraba demasiado en la cabeza,
> bueno que me enrollo, que no hace falta que exista esa "ruta estatica" si
> primero hemos hecho nosotros una peticion por ejemplo al servidor web del
> ejemplo.

3Com en su momento afirmó que no era bug, sino característica ventajosa del 
producto. Y, efectivamente, en la OfficeConnect Remote 812 ADSL Router CLI 
User’s Guide Release 2.0 se puede leer:

"Intelligent PAT
----------------

Enabled by default, Intelligent PAT provides a “best guess” as to where an
incoming packet should be delivered when:
* A default PAT destination address has not been configured for a receiving 
(LAN)
workstation
-AND-
* Static TCP or UDP ports have not been configured

Intelligent PAT bases this “best guess” on an analysis of recent 
communication between the following:
* This remote workstation (the workstation sending this non-addressed packet
from the WAN side of the OCR 812)
* Private workstations (on the LAN side of the OCR 812) that recently
transmitted outgoing packets to this remote workstation

Upon completion of the “best guess” analysis, Intelligent PAT forwards the 
packet to the last LAN workstation to transmit a packet to this remote 
workstation."

Resumiendo, si "PAT inteligente" está habilitado (y lo está de forma 
predeterminada), PAT translada paquetes sin "ruta fija" al último ordenador 
que transmitió un datagrama al equipo remoto.

Se puede suplir la carencia de un cortafuegos para solventar este punto 
concreto:

1) Deshabilitando PAT inteligente, con el siguiente comando CLI:

set vc internet intelligent_pat_option disable

(donde "internet" es el nombre del circuito virtual que conecta a Internet).

2) Asignando una IP predeterminada inexistente para recibir todos los 
paquetes que no sean asignados mediante tabla de mapeos estáticos:

set vc internet nat_default_address <direccion_IP_inexistente>

Saludos,
 -G.

-- 
Gonzalo López Menéndez 
Candás, Asturias, ES.
--------------------------------------------------------------
Asturias desde el Aire, Candás 
http://www.uniovi.es/Asturias/Aire/84.jpg
Concejo de Carreño, Fotos Aéreas
http://www.ctv.es/USERS/correcaminos/capitulos/fotos.htm#fotos
--------------------------------------------------------------