Estado de la vulnerabilidad WPS del Livebox Fibra

Participador ocasional

Estado de la vulnerabilidad WPS del Livebox Fibra

[ Editado ]

Buenos días,

 

Quería preguntar por los avances en la solución de la vulnerabilidad / error que el Livebox Fibra trae de serie con el WPS.

 

El problema lleva detectado algún tiempo (parece que desde Mayo) y desde este mismo foro ya se pasó nota a soporte para que pudiera ser solucionado en una futura versión del firmware del router, pero parece que a día de hoy sigue presente. A mi me instalaron el router en Julio y al menos hasta hace un par de semanas era vulnerable, momento en que hice un cambio de configuración para "mitigarlo".

 

Para los que no estén al tanto, la vulnerabilidad tiene su origen en que el PIN WPS que el router trae configurado por defecto en su red WiFi 5G, es el mismo para todos y encima es uno muy bien conocido: 12345670. Sabiendo esto, cualquiera se puede conectar a tu red en segundos, sin saberse la contraseña del WiFi y utilizando únicamente una App en el móvil. Si el móvil está rooteado, la App además de conectarte te proporciona la clave de la red WiFi, que si no la has cambiado por una tuya, por defecto es la misma para la red 2.4G y la de acceso "admin" a la configuración del router, con lo que aún peor.

 

Además de esto que ya de por sí es un problema, hay un error en la configuración del router que hace que si intentas desactivar el WPS desde la interfaz Web, aunque en apariencia se muestra como deshabilitado, en realidad está habilitado, con lo que la manera más evidente de protegerte de la vulnerabilidad del PIN WPS resulta no ser efectiva.

 

¿Qué se puede hacer entonces hasta que Orange lo solucione? Yo he accedido a la interfaz de configuración de la red 5G del router (http://1.1.1.2 - admin / admin), y en la sección correspondiente puedes cambiar el PIN WPS por otro autogenerado o el que quieras. De esta manera aunque el WPS esté habilitado, no servirá de nada a un atacante "normal". Ahí mismo también aparece una opción para deshabilitar el WPS, pero comentan en otros foros que no acaba de funcionar del todo bien, así que yo no la he utilizado.

 

En fin, después del rollo, lo que comentaba al principio; ¿se sabe si hay algún firmware previsto que solucione esto, por ejemplo, que permita deshabilitar el WPS correctamente?

 

Y por otro lado ahora que lo pienso, ¿hay algún sitio en el que se pueda consultar el histórico de firmwares de los routers de Orange, con sus logs de cambios / mejoras / etc.? Sería muy interesante que Orange publicara uno como hacen los principales fabricantes, así nos ahorrabamos andar preguntando de vez en cuando.

 

Saludos y muchas gracias.

1 RESPUESTA
Participador ocasional

Re: Estado de la vulnerabilidad WPS del Livebox Fibra

Aprovecho para subir el hilo avisando de que la solución que he indicado consistente en cambiar manualmente el PIN WPS sólo es válida hasta que se reinicia el router (corte de luz, apagado y encendido...), momento en el que vuelve a establecer el PIN por defecto 12345670.

 

Realmente hace falta que Orange distribuya un firmware nuevo que solucione esto, o habrá que estar siempre pendiente de comprobar periódicamente qué PIN WPS está configurado.