Más de 700.000 routers ADSL suministrados por ISP a lo largo de todo el mundo contiene serios fallos de seguridad que permitirían ataques remotos por parte de hackers, con la posibilidad de hasta controlarlos, según el investigador en seguridad Kyle Lovett.
La mayoría de los routers afectados tienen un fallo de “directorio transversal” en un componente del firmware llamado webproc.ci, que permite a los hackers extraer información sensible sobre la configuración, incluido las credenciales de administrador. Sin embargo es importante mencionar que el fallo no es nuevo, ya que fue reportado también por otros investigadores en 2011.
La vulnerabilidad de directorio transversal puede ser usado para que atacantes no autenticados puedan extraer datos sensibles de un fichero llamado config.xml, que en la mayoría de los routers afectados contiene los datos de configuración, incluyendo las credenciales para acceder a la administración del router, el usuario y la contraseña de conexión a la ISP (PPPoE), las credenciales del cliente y el servidor para el control remoto TR-069 usado por algunas ISP y hasta la contraseña de acceso a la red Wi-Fi. Lo peor es que no en todos los routers es necesario explotar el fallo de directorio transversal para obtener el fichero config.xml, con tan solo saber la URL de su ubicación ya es suficiente, lo que es aun peor.
Según Kyle Lovett, el algoritmo de hash usado por los routers afectados es débil, provocando que las contraseñas generadas sean fáciles de crackear. Esto podría permitir a los hackers poder secuestrar las DNS del router.
Pero el investigador va más allá, ya que estima que en torno al 60% de los routers afectados tienen una cuenta de soporte oculta con una contraseña fácil de adivinar. Estos dispositivos posiblemente no tengan el fallo de directorio transversal, pero tienen una cuenta de puerta trasera. Por otro lado a una cuarta parte de los dispositivo se le puede hacer un volcado de memoria con el fin de obtener datos sensibles sobre el tráfico de Internet que pasa a través de ellos.
La mayoría de los routers afectados utilizan un firmware desarrollado por una empresa china llamada Shenzhen Gongjin Electronics, y entre los modelos afectados están estos: ZTE H108N y H108NV2.1; Sitecom WLM-3600, WLR-6100 y WLR-4100; FiberHome HG110; Planet ADN-4101; Digisol DG-BG4011N; y Observa Telecom BHS_RTA_R1A.
Shenzhen Gongjin Electronics trabaja con una gran cantidad de fabricantes, entre los que se encuentran Asus, Alcatel-Lucent, Belkin, ZyXEL y Netgear. Sin embargo según Lovett no está claro cuantos dispositivos que ejecutan software de Shenzhen Gongjin Electronics están realmente afectados.
El investigador ha encontrado los routers vulnerables a través de la exploración en Internet mediante el uso de SHODAN, un motor de búsqueda especializado para encontrar dispositivos conectados a Internet.
Fuente | PCWorld
http://www.muycomputer.com/2015/03/20/700-000-routers-adsl-isp-vulnerables