Más de 700 mil routers proporcionados por ISPs son vulnerables a los hackers
Cientos de miles de routers ADSL facilitados por proveedores de servicios de internet en todo el mundo son altamente susceptibles de sufrir acciones de hacking; una amenaza causada por defectos en el firmware que permiten a los hackers ejercer el control sobre ellos.
- Microsoft publica nuevos parches para el firmware de Surface Pro 2
- Apple actualiza el firmware de Thunderbolt
- Crece el número de ciberataques relacionados con el IoT y el cloud
- Apple actualiza AirPort Utility y el firmware de las bases AirPort y Time Capsule
- El INCIBE invierte en la reconversión de empresas TIC hacia la seguridad
La mayoría de los routers presentan un fallo que tiene lugar en un componente del firmware llamado webproc.cgi, que permite a los hackers la extracción de datos sensibles relacionados con la configuración del sistema, incluyendo la administración de credenciales. El fallo no resulta una novedad y ha sido denunciado en múltiples ocasiones desde 2011 produciéndose en routers de diversos fabricantes.
Kyle Lovett, experto investigador en sistemas de seguridad, dio con el origen del problema unos meses atrás analizando varios modelos y tipos diferentes de estos dispositivos de conectividad. Asimismo, Lovett indagó a su vez a través de diferentes pruebas efectuadas a cientos de miles de dispositivos fabricados por diferentes marcas que habían sido distribuidos por ISPs a los suscriptores de sus servicios en decenas de países de todo el mundo.
La vulnerabilidad transversal del directorio puede ser utilizada por los atacantes para extraer la información localizada en un fichero sensible llamado config.xml, el cual se encuentra en la mayoría de los routers afectados, y conteniendo sus propios elementos de configuración. Dicho fichero dispone, asimismo, de la clave de acceso a las cuentas del administrador; el nombre y password del usuario de la conexión de internet (PPPoE), las credenciales de clientes y servidor del protocolo de gestión remota TR-069 utilizada por algunos proveedores; y la clave de acceso para redes wifi configuradas.
Lovett, apunta a la fragilidad del algoritmo que utiliza este tipo de routers, “una desventaja que afecta igualmente al password, que puede ser fácilmente crackeado”, puntualiza este experto quien añade que, “tras su entrada, los atacantes camparán a sus anchas por el sistema administrador y tendrán vía libre para realizar los cambios DNS del router que quieran.” Mediante el control del DNS que utiliza el router, los atacantes dirigen a los usuarios a servidores solitarios cuando éstos tratan de acceder a webs legítimas. Los ataques DNS a gran escala contra routers se conocen como “router pharming”, y se han convertido en un tipo de ciberataque que está creciendo en número e intensidad desde hace dos años.
