31 ene. 2017

Vulnerabilidades críticas en router Netgear (en serio, ya no lo uses)

Si tienes un router Netgear, mejor que vayas revisando si hay una actualización de su firmware, porque decenas de modelos de sus routers son afectados por varios problemas de seguridad que permite acceder a su panel de configuración.

Por si aún queda alguien que no esté al tanto de las vulnerabilidades descubiertas en los ultimos años en varios modelos de router Netgear, vamos a repasar en qué consisten estos fallos de seguridad.

Era el año 2016

Durante los últimos meses hemos visto varios ejemplos en los que dispositivos del Internet de las cosas se han visto involucrados, ya sea como víctimas o como participantes en ataques a gran escala de forma involuntaria. Desde los ataques provocados por la botnet Mirai que empezaron a finales de octubre, se ha puesto un especial foco de atención en dispositivos como los routers, presentes en millones de hogares y, en la mayoría de casos, totalmente desprotegidos.

Un investigador que respondía al nick de AceW0rm informó a Netgear el pasado 25 de agosto de 2016 de una vulnerabilidad en sus routers sin obtener, aparentemente, una respuesta.

Esto provocó que el 10 de noviembre este investigador publicase información acerca de cómo explotar esta vulnerabilidad, además del código necesario para realizar una prueba de concepto. Entre la información publicada se encuentra el siguiente vídeo, en el que se observa que un atacante podría ejecutar comandos con privilegios de administrador o root en uno de los routers vulnerables estando conectado a la misma red local.

Este problema de seguridad puede exponer las contraseñas de inicio de sesión de la web GUI mientras que la función de recuperación de contraseña está desactivada. La vulnerabilidad ocurre cuando el atacante tiene acceso a la red interna o cuando la administración remota ha sido activada en el usuario, función que por defecto viene desactivada en todos los routers de la compañía. Es cuando el usuario activa la administración remota desde las configuraciones avanzadas cuando la vulnerabilidad sale a la luz y cualquier atacante podría tener acceso al dispositivo para convertirlo, entre otras cosas, en parte de una botnet.

Netgear publicó un listado con todos los modelos afectados, así que en caso de que te toque la lotería, lo recomendado sería descargar dicho firmware y proceder a la actualización del router.

Funcionamiento del ataque

La forma de explotar esta vulnerabilidad es sumamente sencilla, al menos si se realiza desde la misma red local en la que se encuentra el router, y permitiría a un atacante inyectarle comandos. Estas acciones podrían incluso conseguir el control del router y, por ende, los datos que pasan a través de él.

Podemos comprobar si nuestro router Netgear es vulnerable escribiendo la siguiente línea en el navegador:
http://routerlogin.net/cgi-bin/;uname
En caso de ser vulnerable, este comando nos devolverá la versión del sistema Linux que tiene instalado el router.

No obstante, el verdadero peligro existe si la opción de controlar el router de forma remota se encuentra activada, algo que viene por defecto. Esto permitiría automatizar los ataques a estos routers y conseguir tomar su control para realizar acciones delictivas, motivo por el cual incluso el US-CERT ha lanzado un aviso para alertar del peligro de estos dispositivos vulnerables.

Respuesta de Netgear

Ante esta situación, Netgear no podía quedarse de brazos cruzados y no ha tardado en publicar unos firmware provisionales que pueden descargarse desde el enlace preparado para tal efecto, y que solucionan esta vulnerabilidad. Se recomienda encarecidamente a los usuarios que tengan alguno de los dispositivos afectados que los actualicen tan pronto como sea posible.

Ahora en enero de 2017

Simon Kenin, un investigador de Trustwave, ha explicado cómo de pura pereza por no salir de la cama y bajar las escaleras para reiniciar su router, investigó como podía encontrar otra forma de hackear el panel de administración web del dispositivo Netgear para cambiar la contraseña de acceso a través del script "http://_IP_/passwordrecovered.cgi?id=_token_".

Kenin ha publicado una descripción completa de las vulnerabilidades encontradas y un script en Python usado para probarlas. Las vulnerabildades han sido asignadas como CVE-2017-5521 y TWSL2017-003. Netgear vuelve a recomendar a los usuarios que comprueben el firmware del router y que actualicen el mismo.

Si alguien quisiera crear otra botnet con miles de dispositivos bajo su mando, podría lanzar un ataque escaneando direcciones IP públicas en busca de estos modelos de routers vulnerables y lanzar comandos que le permitieran tomar el control. A partir de ahí, los routers obedecerían sus órdenes y podrían lanzar ataques de denegación de servicios distribuidos contra cualquier objetivo que le apetezca.

El mayor problema al que nos enfrentamos es que muchos de los usuarios que cuentan con estos routers vulnerables no leerán estos avisos ni sabrán cómo actualizar el firmware. Es por eso que se debe hacer más hincapié en concienciar a los usuarios de la importancia de mantener actualizados, siempre que sea posible, todos aquellos dispositivos conectados, siendo el router uno de los más importantes.

Fuente: We Live Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!