miércoles, 1 de febrero de 2017

Routers Netgear pueden permitir acceder a la clave de administrador

Un investigador de Trustwave ha anunciado una vulnerabilidad que afecta a múltiples modelos de routers Netgear y que podría permitir conseguir de una forma sencilla la contraseña de administrador de la interfaz web del dispositivo.

El problema, descubierto por Simon Kenin de Trustwave, podría permitir a un atacante con acceso al router conseguir acceso a la contraseña de administración. El problema solo puede ser aprovechado de forma remota si la administración está accesible desde Internet, opción desactivada de forma habitual. Sin embargo, cualquiera con acceso a la red en la que se encuentra el dispositivo podrá aprovecharlo, como por ejemplo una WiFi pública en una cafetería, biblioteca o cualquier otro entorno similar que ofrezca este tipo de acceso.

El problema, al que se le ha asignado el CVE-2017-5521, reside en un identificador filtrado a través de un mensaje de error al acceder a la interfaz, que puede emplearse posteriormente para recuperar las credenciales.

Código html del mensaje de error con el identificador que permite recuperar la credencial

Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos, para los que ha publicado actualizaciones de firmware:
  • R8500
  • R8300
  • R7000
  • R6400
  • R7300DST
  • R7100LG
  • R6300v2
  • WNDR3400v3
  • WNR3500Lv2
  • R6250
  • R6700
  • R6900
  • R8000
  • R7900
  • WNDR4500v2
  • R6200v2
  • WNDR3400v2
  • D6220
  • D6400
  • C6300

Para estos modelos aun no hay actualizaciones disponibles, por lo que se recomienda asegurarse de que la administración remota no está accesible.
  • R6200 v1.0.1.56_1.0.43
  • R6300 v1.0.2.78_1.0.58
  • VEGN2610 v1.0.0.14_1.0.12
  • AC1450 v1.0.0.34_10.0.16
  • WNR1000v3 v1.0.2.68_60.0.93
  • WNDR3700v3 v1.0.0.38_1.0.31
  • WNDR4000 v1.0.2.4_9.1.86
  • WNDR4500 v1.0.1.40_1.0.68
  • D6300 v1.0.0.96
  • D6300B v1.0.0.40
  • DGN2200Bv4 v1.0.0.68
  • DGN2200v4 v1.0.0.76

En cualquier caso se recomienda consultar la página con el aviso de Netgear para obtener las versiones del firmware actualizadas.

El investigador desvela que ha encontrado más de 10.000 dispositivos vulnerables accesibles de forma remota. Sin embargo el número real de dispositivos afectados puede elevarse a cientos de miles o incluso a más de un millón. Hay que tener en cuenta que cualquier WiFi pública con uno de estos routers puede ser fácilmente atacada.

"We have found more than ten thousand vulnerable devices that are remotely accessible. The real number of affected devices is probably in the hundreds of thousands, if not over a million."

Simon incide en otros problemas asociados. La costumbre de reutilizar la contraseña puede facilitar una información vital para acceder a otros dispositivos conectados a la red. Igualmente señala la problemática de malware actual como la botnet Mirai, que podría dar lugar a que algunos de los routers vulnerables puedan ser infectados y, finalmente, utilizados también como robots.

Más información:

CVE-2017-5521: Bypassing Authentication on NETGEAR Routers
https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/?page=1&year=0&month=0

Trustwave SpiderLabs Security Advisory TWSL2017-003:
Multiple Vulnerabilities in NETGEAR Routers
https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911

Web GUI Password Recovery and Exposure Security Vulnerability
http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability

una-al-dia (19/12/2016) Vulnerabilidad crítica en múltiples routers Netgear
http://unaaldia.hispasec.com/2016/12/vulnerabilidad-critica-en-multiples.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017