Nuevas vulnerabilidades críticas en routers Netgear
El investigador de Trustwave Simon Kenin desvela que ha encontrado una nueva vulnerabilidad con identificador CVE-2017-5521 en el firmware de los routers Netgear donde más de 10.000 dispositivos vulnerables accesibles de forma remota. Sin embargo el número real de dispositivos afectados puede elevarse a cientos de miles o incluso a más de un millón.Por suerte, la funcionalidad de administración remota está deshabilitada por defecto en routers Netgear.
Si tienes un router Netgear, mejor que vayas revisando si hay una actualización de su firmware, porque decenas de modelos de sus routers son afectados por varios problemas de seguridad que permiten acceder a su panel de configuración y administración
Un investigador que respondía al nick de AceW0rm informó a Netgear el pasado 25 de agosto de 2016 de una vulnerabilidad en sus routers sin obtener, aparentemente, una respuesta.
Esto provocó que el 10 de noviembre este investigador publicase información acerca de cómo explotar esta vulnerabilidad, además del código necesario para realizar una prueba de concepto. Entre la información publicada se encuentra el siguiente vídeo, en el que se observa que un atacante podría ejecutar comandos con privilegios de administrador o root en uno de los routers vulnerables estando conectado a la misma red local.
Podemos comprobar si nuestro router Netgear es vulnerable escribiendo la siguiente línea en el navegador:
En caso de ser vulnerable, este comando nos devolverá la versión del sistema Linux que tiene instalado el router.
No obstante, el verdadero peligro existe si la opción de controlar el router de forma remota se encuentra activada, algo que viene por defecto. Esto permitiría automatizar los ataques a estos routers y conseguir tomar su control para realizar acciones delictivas, motivo por el cual incluso el US-CERT ha lanzado un aviso para alertar del peligro de estos dispositivos vulnerables.
Fuentes:
http://blog.segu-info.com.ar/2017/01/vulnerabilidades-criticas-en-router.html
http://www.welivesecurity.com/la-es/2017/01/31/bug-routers-netgear-robar-contrasenas/
http://unaaldia.hispasec.com/2017/02/routers-netgear-pueden-permitir-acceder.html
Si tienes un router Netgear, mejor que vayas revisando si hay una actualización de su firmware, porque decenas de modelos de sus routers son afectados por varios problemas de seguridad que permiten acceder a su panel de configuración y administración
Routers Netgear pueden permitir acceder a la clave de administrador
Un investigador de Trustwave ha anunciado una vulnerabilidad que afecta a múltiples modelos de routers Netgear y que podría permitir conseguir de una forma sencilla la contraseña de administrador de la interfaz web del dispositivo.
El problema, descubierto por Simon Kenin de Trustwave, podría permitir a un atacante con acceso al router conseguir acceso a la contraseña de administración. El problema solo puede ser aprovechado de forma remota si la administración está accesible desde Internet, opción desactivada de forma habitual. Sin embargo, cualquiera con acceso a la red en la que se encuentra el dispositivo podrá aprovecharlo, como por ejemplo una WiFi pública en una cafetería, biblioteca o cualquier otro entorno similar que ofrezca este tipo de acceso.
El problema, al que se le ha asignado el CVE-2017-5521, reside en un identificador filtrado a través de un mensaje de error al acceder a la interfaz, que puede emplearse posteriormente para recuperar las credenciales.
Al intentar acceder al panel web se le pide al usuario que se autentique, si la autenticación se cancela y la recuperación de contraseña no está habilitada, el usuario es redireccionado a una página que expone un token de recuperación de contraseña. Si un usuario Suministra el token correcto a la página Http: //router/passwordrecovered.cgi? Id = TOKEN (y la recuperación de contraseña no está Habilitada), recibirán la contraseña de administrador del router.
http://router/.../ will redirect you to http://router/..../unauth.cgi?id=TOKEN
http://router/passwordrecovered.cgi?id=TOKEN
Un investigador que respondía al nick de AceW0rm informó a Netgear el pasado 25 de agosto de 2016 de una vulnerabilidad en sus routers sin obtener, aparentemente, una respuesta.
Esto provocó que el 10 de noviembre este investigador publicase información acerca de cómo explotar esta vulnerabilidad, además del código necesario para realizar una prueba de concepto. Entre la información publicada se encuentra el siguiente vídeo, en el que se observa que un atacante podría ejecutar comandos con privilegios de administrador o root en uno de los routers vulnerables estando conectado a la misma red local.
Modelos Router Netgear Afectados
- R8500
- R8300
- R7000
- R6400
- R7300DST
- R7100LG
- R6300v2
- WNDR3400v3
- WNR3500Lv2
- R6250
- R6700
- R6900
- R8000
- R7900
- WNDR4500v2
- R6200v2
- WNDR3400v2
- D6220
- D6400
Para estos modelos aun no hay actualizaciones disponibles, por lo que se recomienda asegurarse de que la administración remota no está accesible.
- R6200 v1.0.1.56_1.0.43
- R6300 v1.0.2.78_1.0.58
- VEGN2610 v1.0.0.14_1.0.12
- AC1450 v1.0.0.34_10.0.16
- WNR1000v3 v1.0.2.68_60.0.93
- WNDR3700v3 v1.0.0.38_1.0.31
- WNDR4000 v1.0.2.4_9.1.86
- WNDR4500 v1.0.1.40_1.0.68
- D6300 v1.0.0.96
- D6300B v1.0.0.40
- DGN2200Bv4 v1.0.0.68
- DGN2200v4 v1.0.0.76
Funcionamiento de la anterior vulnerabilidad: modo de ataque
La forma de explotar esta vulnerabilidad es sumamente sencilla, al menos si se realiza desde la misma red local en la que se encuentra el router, y permitiría a un atacante inyectarle comandos. Estas acciones podrían incluso conseguir el control del router y, por ende, los datos que pasan a través de él.http:///cgi-bin/;COMMAND
Podemos comprobar si nuestro router Netgear es vulnerable escribiendo la siguiente línea en el navegador:
http://routerlogin.net/cgi-bin/;uname
En caso de ser vulnerable, este comando nos devolverá la versión del sistema Linux que tiene instalado el router.
No obstante, el verdadero peligro existe si la opción de controlar el router de forma remota se encuentra activada, algo que viene por defecto. Esto permitiría automatizar los ataques a estos routers y conseguir tomar su control para realizar acciones delictivas, motivo por el cual incluso el US-CERT ha lanzado un aviso para alertar del peligro de estos dispositivos vulnerables.
http:///cgi-bin/;killall$IFS'httpd'
Fuentes:
http://blog.segu-info.com.ar/2017/01/vulnerabilidades-criticas-en-router.html
http://www.welivesecurity.com/la-es/2017/01/31/bug-routers-netgear-robar-contrasenas/
http://unaaldia.hispasec.com/2017/02/routers-netgear-pueden-permitir-acceder.html
Via: blog.elhacker.net
Nuevas vulnerabilidades críticas en routers Netgear
Reviewed by Zion3R
on
14:30
Rating: