Se ha descubierto que el firmware de más de 10 fabricantes de routers incorporan el mismo backdoor que permitiría iniciar sesión en la web de administración del router de forma fácil y rápida, consiguiendo el control total del mismo.
Este backdoor se encontró de casualidad ya que los autores de
este descubrimiento tuvieron un problema extraño con su router y decidieron
cargar un firmware de código abierto, la actualización de este firmware falló y
se pusieron a investigar.
En esta investigación realizaron ingeniería inversa del
firmware del router que ellos estaban utilizando, y encontraron un backdoor con
los credenciales de usuario y contraseña “super”. Durante este descubrimiento,
miraron el firmware de otros fabricantes para comprobar si este mismo backdoor
también se encontraban en ellos, y descubrieron que más de 10 fabricantes lo
incorporaban en sus firmwares. Algunos de los fabricantes afectados son Digicom,
Alpha Network, Pro-Link, Planet Networks y el conocido fabricante TRENDnet
entre otros muchos.
En la página web donde se ha publicado esta investigación
tenéis los modelos de routers afectados por este backdoor, se recomienda a los
propietarios de estos equipos deshabilitar la gestión remota del router para
evitar que un atacante remoto pueda acceder. Actualmente no hay ninguna forma
de cambiar los credenciales de este segundo usuario “super”, ni el usuario ni
tampoco la contraseña. Otra recomendación es que si vuestro router es
compatible con el firmware OpenWRT uséis este firmware de código abierto.
Actualmente hay más de 200.000 routers expuestos a este
backdoor en Internet, sin contar con los que no tienen el acceso remoto
habilitado que también están afectados aunque no son vulnerables.
Cualquier atacante que tenga acceso podría modificar los
servidores DNS que utiliza el router y comprometer los PCs de la red interna,
en el siguiente vídeo se pueden ver todos los detalles:
Más información
- Blog con detalles sobre el backdoor. http://blog.ensolnepal.com/router_backdoor/