La mayoría de los routers presentan una falla que tiene lugar en un componente del firmware llamado webproc.cgi, que permite a los hackers la extracción de datos sensibles relacionados con la configuración del sistema, incluyendo la administración de credenciales. La falla no resulta una novedad y ha sido denunciada en múltiples ocasiones desde 2011 produciéndose en routers de diversos fabricantes.
Kyle Lovett, experto investigador en sistemas de seguridad, dio con el origen del problema unos meses atrás analizando varios modelos y tipos diferentes de estos dispositivos de conectividad. Asimismo, Lovett indagó a su vez a través de diferentes pruebas efectuadas a cientos de miles de dispositivos fabricados por diferentes marcas que habían sido distribuidos por ISPs a los suscriptores de sus servicios en decenas de países de todo el mundo.
La vulnerabilidad transversal del directorio puede ser utilizada por los atacantes para extraer la información localizada en un archivo sensible llamado config.xml, el cual se encuentra en la mayoría de los routers afectados, y conteniendo sus propios elementos de configuración. Dicho archivo dispone, asimismo, de la clave de acceso a las cuentas del administrador; el nombre y password del usuario de la conexión de internet (PPPoE), las credenciales de clientes y servidor del protocolo de gestión remota TR-069 utilizada por algunos proveedores; y la clave de acceso para redes WiFi configuradas.
Lovett, apuntó a la fragilidad del algoritmo que utiliza este tipo de routers, “una desventaja que afecta igualmente al password, que puede ser fácilmente crackeado”, puntualizó este experto quien añadió que, “tras su entrada, los atacantes camparán a sus anchas por el sistema administrador y tendrán vía libre para realizar los cambios DNS del router que quieran.” Mediante el control del DNS que utiliza el router, los atacantes dirigen a los usuarios a servidores solitarios cuando éstos tratan de acceder a webs legítimas. Los ataques DNS a gran escala contra routers se conocen como “router pharming”, y se han convertido en un tipo de ciberataque que está creciendo en número e intensidad desde hace dos años.
-Network World
