Parece ser que el router, además de tener el usuario por defecto 1234 que todo el mundo conocemos, además tiene otro usuario de acceso creado que tiene como login y contraseña user .
La infomación ya ha sido remitida a Movistar por algunos usuarios que se han visto afectados y parece ser que están trabajando en encontrar una posible solución, es decir, tratar de sacar un nuevo firmware que corrija este y otros muchos errores que posee el actual firmware de este router VDSL.
Actualmente el firmware que causa este tipo de problemas es el 1.00(BKA.0)b25.
Podemos comprobar que poniendo en la venta de login a través del navegador mediante la puerta de enlace podemos acceder con este usuario oculto.
Como podéis observar el login se realiza de forma correcta y se accede al router con total normalidad, lo que puede suponer un problema grave de seguridad para los usuarios que posean dicho equipo.
A esto vamos a añadirle un contratiempo y es que si queremos cambiar la contraseña del router vía configurador web nos encontramos con la siguiente sorpresa:
La opción de cambiar la contraseña no es la del usuario user, sino la de 1234.
Solución: Cambiar la contraseña vía Telnet
Antes de que suministren un firmware que corrija este problema la mejor solución es modificar la contraseña del usuario pero por una sesión de Telnet
1.- Accedemos a Telnet(ponemos la puerta de enlace que nosotros tengamos)
2.-Ingresamos con el usuario “user”
Citar
login: user
password: user
3.-Ejecutamos la instrucción
Citar
PASSWD USER
Y a continuación tecleamos la nueva contraseña que queramos asignar.
4.Tecleamos
Citar
Exit
Y ya estaría cambiada la contraseña del usuario oculto. No esta eliminado el usuario pero por lo menos ya no tiene la contraseña que venía por defecto.
Agradecer al usuario rafaelgc de ADSLZone.net el manual.
FUENTE :http://www.redeszone.net/2011/10/23/zyxel-p-870hw-51a-v2-problema-de-seguridad-acceso-oculto-con-useruser/