4 de febrero de 2017

ROUTERS NETGEAR. Podría permitir acceder a la clave de administrador

Un investigador de Trustwave ha anunciado una vulnerabilidad que afecta a múltiples modelos de routers Netgear y que podría permitir conseguir de una forma sencilla la contraseña de administrador de la interfaz web del dispositivo.
El problema, descubierto por Simon Kenin de Trustwave, podría permitir a un atacante con acceso al router conseguir acceso a la contraseña de administración. El problema solo puede ser aprovechado de forma remota si la administración está accesible desde Internet, opción desactivada de forma habitual. Sin embargo, cualquiera con acceso a la red en la que se encuentra el dispositivo podrá aprovecharlo, como por ejemplo una WiFi pública en una cafetería, biblioteca o cualquier otro entorno similar que ofrezca este tipo de acceso.
El problema, al que se le ha asignado el CVE-2017-5521, reside en un identificador filtrado a través de un mensaje de error al acceder a la interfaz, que puede emplearse posteriormente para recuperar las credenciales.
Código html del mensaje de error con el identificador que permite recuperar la credencial
Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos, para los que ha publicado actualizaciones de firmware:
  1. R8500
  2. R8300
  3. R7000
  4. R6400
  5. R7300DST
  6. R7100LG
  7. R6300v2
  8. WNDR3400v3
  9. WNR3500Lv2
  10. R6250
  11. R6700
  12. R6900
  13. R8000
  14. R7900
  15. WNDR4500v2
  16. R6200v2
  17. WNDR3400v2
  18. D6220
  19. D6400
  20. C6300
Para estos modelos aun no hay actualizaciones disponibles, por lo que se recomienda asegurarse de que la administración remota no está accesible.
  1. R6200 v1.0.1.56_1.0.43
  2. R6300 v1.0.2.78_1.0.58
  3. VEGN2610 v1.0.0.14_1.0.12
  4. AC1450 v1.0.0.34_10.0.16
  5. WNR1000v3 v1.0.2.68_60.0.93
  6. WNDR3700v3 v1.0.0.38_1.0.31
  7. WNDR4000 v1.0.2.4_9.1.86
  8. WNDR4500 v1.0.1.40_1.0.68
  9. D6300 v1.0.0.96
  10. D6300B v1.0.0.40
  11. DGN2200Bv4 v1.0.0.68
  12. DGN2200v4 v1.0.0.76
En cualquier caso se recomienda consultar la página con el aviso de Netgear para obtener las versiones del firmware actualizadas.
El investigador desvela que ha encontrado más de 10.000 dispositivos vulnerables accesibles de forma remota. Sin embargo el número real de dispositivos afectados puede elevarse a cientos de miles o incluso a más de un millón. Hay que tener en cuenta que cualquier WiFi pública con uno de estos routers puede ser fácilmente atacada. 
"We have found more than ten thousand vulnerable devices that are remotely accessible. The real number of affected devices is probably in the hundreds of thousands, if not over a million."
Simon incide en otros problemas asociados. La costumbre de reutilizar la contraseña puede facilitar una información vital para acceder a otros dispositivos conectados a la red. Igualmente señala la problemática de malware actual como la botnet Mirai, que podría dar lugar a que algunos de los routers vulnerables puedan ser infectados y, finalmente, utilizados también como robots.
Más información:
·        CVE-2017-5521: Bypassing Authentication on NETGEAR Routers https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/?page=1&year=0&month=0
·        Trustwave SpiderLabs Security Advisory TWSL2017-003: Multiple Vulnerabilities in NETGEAR Routers https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911
·        Web GUI Password Recovery and Exposure Security Vulnerability http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability
Fuente: Hispasec
Publicado por en
Etiquetas: