Universidad Veracruzana

En otra prueba del mal estado de seguridad de los routers caseros, un grupo de investigadores de seguridad descubrió más de 60 vulnerabilidades en 22 modelos de routers de diferentes compañías, la mayoría de los cuales fueron distribuidos por los proveedores de servicios de Internet (ISP) a los clientes.

Los investigadores realizaron la revisión manual de la seguridad como preparación de su tesis de maestría en seguridad informática de la Universidad Europea de Madrid en España. Publicaron detalles sobre las vulnerabilidades que encontraron el domingo en la lista de divulgación de correos de seguridad.

La mayoría de las fallas afectan a más de un modelo de router y podría permitir a los atacantes evitar la autenticación de los dispositivos, inyectar código malintencionado en sus interfaces de administración basadas en Web, engañar a los usuarios para que ejecuten acciones en sus routers al visitar sitios web comprometidos, leer y escribir información en dispositivos de almacenamiento USB conectados a los routers afectados, reiniciar los dispositivos y mucho más.

Los modelos vulnerables enumerados por los investigadores fueron: Observa Telecom AW4062 y RTA01N, Home Station BHS-RTA y VH4032N, Comtrend WAP-5813n, CT-5365, AR-5387un y 536+, Sagem LiveBox Pro 2 SP y Fast 1201, Huawei HG553 y HG556a, Amper Xavi 7968, 7968+ y ASL-26555, D-Link DSL-2750B y DIR-600, Belkin F5D7632-4, Linksys WRT54GL, Astoria ARV7510, Netgear CG3100D y Zyxel P 660HW-B1A.

Algunos de los modelos vulnerables  de Observa Telecom, Comtrend, ZyXEL y Amper se distribuyeron a los clientes por Spanish ISP Telefonica. Vodafone también distribuyó uno de los modelos vulnerables de Observa Telecom, así como los Huawei y Astoria.

Los modelos Sagem se distribuyeron por Orange, el proveedor español Jazztel distribuye uno de los modelos Comtrend y Ono, y una filial de Vodafone en España distribuye el modelo de Netgear.

A pesar de que la investigación se centró en los routers que fueron colocados por los ISP a clientes en España, algunos de los mismos modelos fueron probablemente distribuidos por los ISP en otros países también.

Las investigaciones anteriores han demostrado que la seguridad de los routers proporcionados por los ISP son a menudo peores que los que se encuentran en cualquier estantería. Muchos de estos dispositivos están configurados para la administración remota para permitir que los ISP actualicen remotamente su configuración o para solucionar problemas de conexión. Esto expone las interfaces de administración de los routers, junto con las vulnerabilidades en ellas, a Internet, lo que aumenta el riesgo de explotación.

A pesar de que los ISP tienen la posibilidad de actualizar de forma remota el firmware de los routers que distribuyen a los clientes, a menudo no lo hacen y en algunos casos los usuarios no pueden hacerlo porque tienen restringido el acceso a los dispositivos.

En el router Observa Telecom RTA01N, el grupo de investigación español encontró una cuenta administrativa oculta llamada «admin» con una contraseña codificada a la que se puede acceder a través de la interfaz de gestión basada en Web Telnet. Cuentas con dunciones de puerta trasera no documentadas se han encontrado en otros routers proporcionados por ISP en el pasado, probablemente estaban destinadas a la asistencia remota.

Doce de los enrutadores probados eran vulnerables a cross-site request forgery (CSRF) y en algunos casos fue posible cambiar su configuración de Domain Name System (DNS).

Los ataques CSRF utilizan específicamente código elaborado para insertarse en sitios web maliciosos o comprometidos para obligar a los navegadores de los visitantes a ejecutar acciones no autorizadas en un sitio web diferente. Si los visitantes se autentican en la página web, la acción se ejecutará con sus privilegios.

El sitio web de destino también puede ser una interfaz de gestión de un router basada en web, la cual sólo es accesible a través de la red de área local, en dado caso, el navegador del usuario permite al atacante bloquear la Internet y la LAN.

Los investigadores de seguridad descubrieron recientemente un ataque CSRF a gran escala dirigido a más de 40 modelos de routers, está diseñado para reemplazar sus servidores DNS primarios con un servidor controlado por los atacantes. Una vez hecho esto, los atacantes pueden falsificar cualquier sitio web que los usuarios tengan detrás de esos routers y pueden espiar su tráfico de Internet.

Otro grave defecto descubierto por los investigadores españoles permite a atacantes externos no autenticados ver, modificar o borrar archivos en dispositivos de almacenamiento USB conectados al Observa Telecom VH4032N, Huawei HG553, Huawei HG556a y Astoria ARV7510. Una vulnerabilidad similarse identificó en el pasado sobre routers Asus populares.

Mientras que algunas personas podrían haber afirmado en el pasado que los routers no son un objetivo para los atacantes, esto ya no es más un hecho. Ha habido numerosos ataques a gran escala durante los últimos años dirigidos específicamente a routers y otros dispositivos integrados. Es hora de que los usuarios vean sus routers como algo más que cajas mágicas que les dan acceso a Internet.