Routers, analizamos el ecosistema para detectar amenazas (Parte VII)

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Como corolario del informe de sobre routers que hemos preparado para este mes, acumulamos algunos casos sobre vulnerabilidades que cualquiera debería haber atendido, si es responsable de seguridad de una corporación.

 

Los ataques ralizados a los modems/routers Eir D1000 implicaron una vulnerabilidad de inyección de comandos del sistema operativo en la implementación TR-064 de CWMP.

Esto resultó en la infección de alrededor de 900.000 dispositivos con una versión modificada de Mirai.

Otra vulnerabilidad en las versiones de servidor de RomPager anteriores a 4.34, denominada Misfortune Cookie (CVE-2014-9222), tiene una calificación máxima de CVSS 10. Mientras tanto, un poco menos de la mitad de todos los dispositivos habilitados para CWMP usan el RomPager vulnerable 4.07. Eso deja casi 3.300.000 dispositivos accesibles por Internet.

La gente de Check Point durante RSA 2017, muestra de la cual fuimos parte, presentó la investigación sobre problemas de seguridad con TR-064.RomPager 4.07. utilizando un servicio desactualizado manejado por los desarrolladores del firmware.

Genivia gSOAP 2.7 fue lanzado en 2004, mientras que DropBear SSH 0.46 vio la luz del día en 2005, sin embargo, ambos se pueden encontrar en dispositivos de hoy con múltiples vulnerabilidades (DoS y RCE autenticado) son conocidos como DropBear.On, los investigadores José Bertin y Ezequiel Fernández publicaron un informe sobre un problema de agente SNMP que afecta a 18 proveedores, 78 modelos y más de medio millón de dispositivos.

Cualquiera puede obtener acceso completo de lectura / escritura a todos los valores debido a este error.

 

Conclusión

Los fabricantes de dispositivos conectados a casa están cerrando gradualmente los métodos más comunes para la infección desde una botnet.

En lugar de un simple ataque de fuerza bruta, los atacantes han desplazado sus esfuerzos hacia la explotación de vulnerabilidades, que dan resultados sustancialmente mejores.

La exploración continua de toda la gama de direcciones IP permite a los atacantes encontrar todos los dispositivos vulnerables.

Un gran número de modelos de routers tienen vulnerabilidades; quizás demasiados.

Algunas vulnerabilidades son específicas de un determinado modelo, mientras que otras afectan a cientos de miles o millones de dispositivos, convirtiendo dispositivos en un juguete flexible en manos de un atacante.

Los métodos para combatir la infección de diferentes botnet son simples, comenzando con los más importantes, son:

Restringir el acceso por defecto de Internet al panel de administración, CLI y FTP.

Usar las últimas versiones de firmware.

Requerir a los clientes el uso de contraseñas fuertes.

Limitar los intentos de fuerza bruta.

Los dispositivos más populares son, debido a su popularidad, interesantes tanto para los atacantes como para los investigadores.

Hasta que la seguridad se convierta en una prioridad importante, los ciclos de desarrollo apresurados e incompletos seguirán dando lugar al desarrollo de diferentes firmwares para routers, que seguirán siendo vulnerables.

 

 

 

 

Ir a Parte N°6

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS