Buenas noches a todos,
el propósito de este post es informar sobre una vulnerabilidad hallada en la actualización de firmware de los routers Cisco EPC3825 suministrados por la compañía telefónica vasca Euskaltel. No me hago responsable del uso y/o aprovechamiento de la vulnerabilidad que va a ser explicada.
Esta mañana, como cualquier otra, me encontraba en la universidad trabajando en un proyecto que tengo entre manos. Al tomarme un rato libre me he dispuesto a escanear los servicios que corren detrás de mi router a través de la red de la universidad. Como uno de mis ordenadores está asociado a un servicio de redireccionamiento DNS gratuito he conseguido la IP pública de mi red, es decir, la IP con la que realizas consultas sobre los diferentes servicios que ofrece Internet. Al finalizar el escaneo he comprobado que el puerto 8080 (generalmente empleado como proxy para acceder remotamente a la configuración del router) se encontraba abierto. Para mí asombro dicha opción se encontraba deshabilitada en el panel de administracción remota de éste por lo que empecé a pensar que podría ser un fallo de configuración del router o de la ISP vasca.
Al de un rato, en casa, me comuniqué con el servicio de averías de Euskaltel notificándoles mi problema y abriendo un parte de incidencia, ya que ellos no supieron explicarme lo que realmente ocurría con dicho servicio, incluso llegaron a decirme que había instalado Software adicional que podría causar que dicho puerto estuviera abierto o que había configurado erróneamente el dispositivo. Como soy bastante paranoico con ciertas cosas, y más cuando tienes una puerta trasera que actualmente no está parcheada me he enfocado en comprobar si con otros dispositivos ocurre lo mismo.
Como prueba de concepto, he sido capaz de acceder al panel administrativo de otros dispositivos Cisco EPC3825 a través de la ya mencionada "puerta trasera", por lo que se confirma la existencia de dicha vulnerabilidad en este modelo de enrutadores.
Cabe decir que la ISP vasca instala las pertinentes actualizaciones cuando lo ven necesario, sin embargo, como me he podido percatar, no tenían nociones de que este problema de inseguridad estaba presente en dicha versión del Firmware. Lo más seguro es que no tarden mucho tiempo en parchearla, pero por ahora sólo nos podemos defender aplicando ciertas medidas de seguridad, aquí os dejo algunas recomendaciones a los usuarios con el mismo problema:
Cambiar las credenciales predeterminadas empleadas en la autentificación del panel administrativo del dispositivo, así como la filtración del puerto empleado por el Proxy para que bloquee las posible conexiones sobre dicho servicio.
Sed buenos
Saludos!