Tao Sauvage, de IOActive, y el investigador independiente Antide Petit, han publicado en el blog corporativo de IOActive el descubrimiento de 10 bugs de seguridad hallados en 25 modelos de routers Linksys a finales del año pasado. De esos diez problemas, seis pueden ser de explotados de forma remota por atacantes no autenticados.

Según los investigadores, los fallos de seguridad permiten a los atacantes sobrecargar un router, forzar el reinicio del dispositivo a través de la creación de denegaciones de servicio (DoS), denegar el acceso para los usuarios legítimos, filtrar datos sensibles, cambiar configuraciones restringidas e instalar puertas traseras.

Muchos de los dispositivos Linksys activos en Internet usan la configuración por defecto, según Shodan. Esta situación los vuelve más susceptibles de recibir ataques. Hasta el momento se han encontrado más de 7.000 routers afectados por estos problemas de seguridad, aunque es importante mencionar que no se han incluido los dispositivos que están detrás de un firewall y otros mecanismos de protección de redes. IOActive está trabajando activamente con Linksys para corregir estos problemas.

Los investigadores han decidido no revelar más detalles sobre las vulnerabilidades hasta que los parches estén puestos a disposición de los usuarios, aunque han comentado que dos de los fallos podrían ser usados para realizar ataques de denegación de servicio, haciendo que los dispositivos no puedan responder, o bien podrían ser reiniciados a través de peticiones fraudulentas a una API específica.

Otro de los fallos podría permitir a los atacantes saltarse los scripts CGI para recolectar datos sensibles como la versión del firmware, las versiones del kernel Linux utilizadas, los procesos en ejecución, los dispositivos USB conectadas, los PIN WPS de las conexiones Wi-Fi, la configuración del firewall, la configuración para el FTP y la configuración el servidor SMB.

Los investigadores han avisado de que los atacantes podrían autenticarse en los dispositivos para inyectar y ejecutar código malicioso en el sistema operativo de los routers con privilegios de root (administrador). Explotando esta posibilidad, se podría incluso crear cuentas de puertas traseras para obtener accesos persistentes que resultarían invisibles para la interfaz de gestión del router y en consecuencia para los administradores legítimos. Sin embargo, no se ha detectado que se pueda explotar esta vulnerabilidad saltándose la autenticación.

Modelos de routers Linksys vulnerables y cómo se distribuyen por países

Estos son los modelos de routers afectados por las vulnerabilidades tratadas en esta noticia:

  • EA2700
  • EA2750
  • EA3500
  • EA4500v3
  • EA6100
  • EA6200
  • EA6300
  • EA6350v2
  • EA6350v3
  • EA6400
  • EA6500
  • EA6700
  • EA6900
  • EA7300
  • EA7400
  • EA7500
  • EA8300
  • EA8500
  • EA9200
  • EA9400
  • EA9500
  • WRT1200AC
  • WRT1900AC
  • WRT1900ACS
  • WRT3200ACM

Por países, el 69% de los dispositivos afectados están ubicados en Estados Unidos. Los siguientes son Canadá con casi un 10%, Hong Kong con un 1,8%, Chile con un 1,5% y Países Bajos con un 1,4%. También se han detectado routes vulnerables en Argentina, Rusia, Suecia, Noruega, China, India, Reino Unido y Australia.

¿Qué se puede hacer para mitigar las vulnerabilidades?

Mientras los parches no estén disponibles, como medida de mitigación se puede inhabilitar la característica de Guest Network para impedir el acceso a invitados al router, esto reduciría las posibilidades de acceso.

Por otro lado, también se recomienda encarecidamente cambiar la contraseña de la cuenta por defecto para así evitar los accesos fáciles, ya que los hackers suelen tener a disposición una lista con las contraseñas utilizadas por defecto por los fabricantes.

 

Fuente: The Hacker News | muyseguridad