Un investigador de Trustwave ha anunciado una vulnerabilidad que afecta a múltiples modelos de routers Netgear y que podría permitir conseguir de una forma sencilla la contraseña de administrador de la interfaz web del dispositivo.
El problema, descubierto por Simon Kenin de Trustwave,
podría permitir a un atacante con acceso al router conseguir acceso a la
contraseña de administración. El problema solo puede ser aprovechado de forma
remota si la administración está accesible desde Internet, opción desactivada
de forma habitual. Sin embargo, cualquiera con acceso a la red en la que se
encuentra el dispositivo podrá aprovecharlo, como por ejemplo una WiFi pública
en una cafetería, biblioteca o cualquier otro entorno similar que ofrezca este
tipo de acceso.
El problema, al que se le ha asignado el CVE-2017-5521, reside en un identificador filtrado a través de un mensaje de error al acceder a la interfaz, que puede emplearse posteriormente para recuperar las credenciales.
Código html del mensaje de error con el identificador que
permite recuperar la credencial
Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos, para los que ha publicado actualizaciones de firmware:
- R8500
- R8300
- R7000
- R6400
- R7300DST
- R7100LG
- R6300v2
- WNDR3400v3
- WNR3500Lv2
- R6250
- R6700
- R6900
- R8000
- R7900
- WNDR4500v2
- R6200v2
- WNDR3400v2
- D6220
- D6400
- C6300
Para estos modelos aun no hay actualizaciones
disponibles, por lo que se recomienda asegurarse de que la administración
remota no está accesible.
- R6200 v1.0.1.56_1.0.43
- R6300 v1.0.2.78_1.0.58
- VEGN2610 v1.0.0.14_1.0.12
- AC1450 v1.0.0.34_10.0.16
- WNR1000v3 v1.0.2.68_60.0.93
- WNDR3700v3 v1.0.0.38_1.0.31
- WNDR4000 v1.0.2.4_9.1.86
- WNDR4500 v1.0.1.40_1.0.68
- D6300 v1.0.0.96
- D6300B v1.0.0.40
- DGN2200Bv4 v1.0.0.68
- DGN2200v4 v1.0.0.76
En cualquier caso se recomienda consultar la página con
el aviso de Netgear para obtener las versiones del firmware actualizadas.
El investigador desvela que ha encontrado más de 10.000
dispositivos vulnerables accesibles de forma remota. Sin embargo el número real
de dispositivos afectados puede elevarse a cientos de miles o incluso a más de
un millón. Hay que tener en cuenta que cualquier WiFi pública con uno de estos
routers puede ser fácilmente atacada.
"We have found more than ten thousand vulnerable devices that are remotely accessible. The real number of affected devices is probably in the hundreds of thousands, if not over a million."
Simon incide en otros problemas asociados. La costumbre
de reutilizar la contraseña puede facilitar una información vital para acceder
a otros dispositivos conectados a la red. Igualmente señala la problemática de
malware actual como la botnet Mirai, que podría dar lugar a que algunos de los
routers vulnerables puedan ser infectados y, finalmente, utilizados también
como robots.
Más información:
·
CVE-2017-5521:
Bypassing Authentication on NETGEAR Routers https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/?page=1&year=0&month=0
·
Trustwave
SpiderLabs Security Advisory TWSL2017-003: Multiple Vulnerabilities in NETGEAR
Routers https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911
·
Web
GUI Password Recovery and Exposure Security Vulnerability http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability
Fuente: Hispasec