El UNAM-CERT con sede en México detectó que algunos ruteadores caseros para conexión de Internet tienen fallas en la autenticación que están siendo explotadas por criminales.

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la Universidad Nacional (UNAM-CERT) ha descubierto vulnerabilidades en por lo menos 2 modelos de los ruteadores 2wire utilizados por Telmex para proveer el servicio Prodigy Infinitum.

Los ruteadores 2Wire modelos 2700 HG Gateway y 2701 HG Gateway permitieron exitosamente la explotación de la vulnerabilidad ejecución remota de código, a la cual le fue asignada por Equipo la categoría de riesgo crítico.

De acuerdo al UNAM-CERT, dichos ruteadores presentan una vulnerabilidad de autenticación que puede ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario que le permita reiniciar el ruteador, cambiar la contraseña de la cuenta de administración del ruteador y así tomar el control de él.

El UNAM-CERT ha detectado 2 tipos de ataque:

Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .

Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.

El CERT elaboró un documento en donde detalla el proceso del ataque, así como pruebas de concepto de escenarios de explotación. Los vectores o posibles de ataque analizados hasta ahora, sólo contemplan la realización de pharming sobre los ruteadores 2Wire.

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redireccionar un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redireccionado, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. Wikipedia

De acuerdo con la nota de seguridad del UNAM-CERT, aún no existe ninguna actualización de firmware disponible para solucionar la vulnerabilidad de autenticación en los ruteadores mencionados, ni tampoco existe forma de prevenir, hasta el momento, su explotación.

Sin embargo, el Equipo ofreció pasos detallados que el usuario puede seguir para comprobar si su ruteador está comprometido.

Fuente: UNAM-CERT