Cientos de miles de enrutadores ADSL abiertos a ataques

enrutador adsl

Los piratas informáticos podrían obtener acceso a datos de configuración confidenciales, como credenciales administrativas, a través de una falla transversal de directorio en al menos 700,000 enrutadores ADSL que se han distribuido en todo el mundo.

Kyle Lovett, un investigador de seguridad, descubrió la falla del firmware webproc.cgi que permite a los atacantes hacerse cargo de los enrutadores proporcionados por su proveedor de servicios de Internet. Aunque la vulnerabilidad no es nueva, ha permanecido sin parches, dejando a los usuarios susceptibles a los piratas informáticos.

Los dispositivos vulnerables incluyen modelos de dispositivos de D-Link, Sitecom, WLR, FiberHome, Planet ADN, Digisol, Observa Telecom y ZTE. Por lo tanto, si posee alguno de estos enrutadores, ciertamente corre un riesgo. Hay cientos de miles de otros modelos que son vulnerables a este defecto. Por país, los usuarios afectados provienen de Estados Unidos, Colombia, Moldavia, Irán, Perú, Chile, Egipto, China, Italia, India, Argentina y Tailandia.

enrutador adsl

Usando la vulnerabilidad de cruce de directorio, los piratas informáticos podrán extraer archivos confidenciales, que también contienen los ajustes de configuración de los enrutadores, lo que significa que los atacantes tendrán el control total de su dispositivo una vez que entren en él. Además de los ajustes de configuración, los archivos involucrados también almacenan hashes de contraseña, nombres de usuario y contraseñas de conexión ISP, la contraseña para la red inalámbrica configurada y las credenciales de cliente y servidor para el protocolo de administración remota.

Se descubrió que los hash de contraseñas, debido a que son débiles, son fáciles de descifrar, lo que permite a los piratas informáticos iniciar sesión en los enrutadores como administradores y modificar la configuración del dispositivo, incluido el DNS. Ahora bien, esta es una configuración crucial, porque una vez que un DNS se ve comprometido, los usuarios serán redirigidos a un servidor falso incluso cuando intenten acceder a sitios web legítimos.

Pero estas vulnerabilidades no son las únicas fallas que surgieron luego de una investigación de seguridad. Lovett descubrió que una gran mayoría de esos enrutadores contienen una cuenta de soporte que tiene una contraseña codificada que, según el investigador, es fácil de adivinar. Y esta contraseña es de uso común entre los propietarios de la cuenta de soporte. Esta vulnerabilidad está presente incluso en enrutadores que ni siquiera tienen el defecto de recorrido de directorio.

Además, la memoria activa de los enrutadores está expuesta de forma remota a los piratas informáticos, lo que significa que los atacantes tienen una vista completa del volcado de memoria que contiene datos sobre el tráfico de Internet que pasa a través de esos dispositivos. Como resultado, los piratas informáticos también podrían obtener acceso a varias credenciales de sitios web en texto sin formato.

Según las direcciones IP descubiertas en intentos recientes de explotar los enrutadores, Lovett afirma que los atacantes provienen de China. Además del control remoto de los enrutadores, los atacantes también pueden lanzar el ataque desde redes locales a través de un malware o una técnica de falsificación de solicitudes entre sitios.

0 Shares