He encontrado una forma más fácil y rápida de obtener usuario y password para la administración remota de los módems 2WIRE 2701HG-T que da Telmex para su servicio Infinitum ADSL. Aun así recomiendo leer la [parte 1] ya que gracias a eso pude identificar de inmediato los valores.
Es una página en XML y solo es posible obtenerla desde la LAN. No es necesario saber la contraseña del sistema, aunque en algunos modelos es posible que pida establecer una si antes no la tenía.
Este es el URL:
http://[ip-local]/xslt?PAGE=BJ_STATUS
El usuario como ya sabemos es el SerialNumber y el password aparece como el Nonce.
ACTUALIZACIÓN: Muchas gracias a Pedro Joaquín de Websec por incluir esta vulnerabilidad en su herramienta Routerpwn