Llegamos a ustedes gracias a:



Alertas de Seguridad

Vulnerabilidad en la gestión de red

Expone los módems por cable a hackeo

[02/05/2017] Cientos de miles de dispositivos gateway de Internet en todo el mundo, básicamente módems por cable residencial, son vulnerables al hackeo debido a una grave debilidad en su implementación Simple Network Management Protocol (SNMP).

SNMP se utiliza para la identificación, monitoreo y configuración remota automática de los dispositivos de red. Es soportado y está habilitado por defecto en muchos dispositivos, incluyendo servidores, impresoras, hubs de redes, switches y routers.

Los investigadores independientes Ezequiel Fernández y Bertín Bervis recientemente encontraron una forma de eludir la autenticación SNMP en 78 modelos de módems de cable que los ISP de todo el mundo han proporcionado a sus clientes.

La exploración de Internet reveló cientos de miles de dispositivos cuyas configuraciones se podrían cambiar remotamente a través de la debilidad del SNMP que encontraron y bautizaron como StringBleed.

Para comenzar, las versiones 1 y 2 del protocolo SNMP no tienen autenticación fuerte. Ofrecen acceso de solo lectura o de escritura a la configuración de un dispositivo a través de contraseñas llamadas cadenas comunitarias (community strings). De forma predeterminada, estas contraseñas son "publicas para el acceso de sólo lectura y "privadas para el acceso de escritura, pero los fabricantes de dispositivos pueden cambiarlas en sus implementaciones y generalmente se recomienda hacerlo.

Fernández y Bervis encontraron que los dispositivos de varios proveedores aceptan prácticamente cualquier valor para la cadena comunitaria del SNMP y desbloquean el acceso de lectura y escritura a los datos de su configuración.

Los dos investigadores primero encuentran un pequeño número de dispositivos vulnerables, como el cable módem Cisco DPC3928SL que ahora es parte de la cartera de productos de Technicolor tras la adquisición de la división Connected Devices del 2015.

Los investigadores afirman que cuando reportaron el problema a Technicolor, la empresa les dijo que era el resultado de una mala configuración de acceso por parte de un solo ISP en México y no un problema con el dispositivo en sí mismo.

Esto llevó a los investigadores a realizar un análisis más amplio de Internet que resultó en el descubrimiento de 78 modelos de cable módem vulnerables de 19 fabricantes, entre los que se encuentran Cisco, Technicolor, Motorola, D-Link y Thomson.

El número de dispositivos vulnerables a los que se pueden llegar directamente en Internet van desde menos de 10 para algunos modelos a decenas y cientos de miles de para otros. Por ejemplo, hay casi 280 mil dispositivos Thomson DWG850-4 vulnerables en Internet, la mayoría de ellos en Brasil, según los investigadores.

Los investigadores creen que el problema subyacente se encuentra en la implementación del SNMP utilizada por los módems, en lugar de ser el resultado de errores de configuración de los ISP.

Independientemente de la causa, el problema es grave, ya que los atacantes podrían explotar esta falla para extraer contraseñas administrativas y de Wi-Fi o para secuestrar dispositivos mediante la modificación de sus configuraciones.

No hay mucho que los usuarios puedan hacer si su ISP les proporcionaron un dispositivo vulnerable, además de solicitar un modelo diferente o instalar su propio módem. Desafortunadamente, no muchos ISP permiten a sus clientes residenciales utilizar sus propios dispositivos de gateway, porque quieren uniformidad y capacidades de administración remota en sus redes.

Determinar si un determinado dispositivo es vulnerable a este problema es posible, pero requiere un poco de trabajo. Para determinar si el dispositivo responde a las solicitudes SNMP en su dirección IP pública se puede utilizar un escáner en línea de puertos como ShieldsUp.

Si el SNMP está abierto, puede utilizarse una herramienta en línea diferente para comprobar si el servidor SNMP del dispositivo devuelve respuestas válidas cuando se utilizan cadenas comunitarias "públicas o aleatorias. Por lo menos esto indicaría un problema de fuga de información.