News

TP-Link corrige una vulnerabilidad que permitía ejecutar código en los routers antiguos

El fabricante de routers TP-Link cerró una vulnerabilidad en modelos que ya no se producen. La vulnerabilidad podría utilizarse para ejecutar código en el dispositivo.

Los investigadores de la compañía Senrio, que se especializa en la seguridad de Internet de las cosas, descubrieron una vulnerabilidad en el servicio de configuración de los routers TP-Link PTWR841N V8.

El verano pasado se habían enfrentado a una vulnerabilidad similar que también afectaba al servicio de configuración del dispositivo “inteligente”. Se trataba de un componente vulnerable en el firmware de más de 100 modelos de cámaras Wi-Fi de D-Link que las hacía vulnerables a ataques remotos.

En cuanto a los routers, utilizando un error en su firmware, los investigadores lograron poner a cero los datos utilizados para iniciar sesión en el centro de configuración de los dispositivos, para luego obtener la capacidad de ejecutar código mediante desbordamiento de búfer.

Después de que los investigadores de Senrio llamaran la atención a los empleados del departamento de seguridad de TP-Link, estos consintieron en quitar el servicio de configuración de este modelo de router, a pesar de que ya no se encuentra en producción.

Los investigadores aprobaron que la empresa haya dado este paso, pero advierten que es probable que muchos usuarios de estos routers todavía estén utilizando versiones antiguas del firmware. A juzgar por las cifras de Shodan, al menos 93 328 de esos routers se se siguen utilizando en todo el mundo.

Cuando las vulnerabilidades todavía estaban sin resolver, se los pudo haber usado en un ataque lanzado desde un smartphone cercano en el que se hubiese activado el punto de acceso. Este ataque implicaba el envío de un número de comandos al dispositivo de destino. Describamos este proceso con más detalle.

El servicio de configuración permitía a un usuario de la red la lectura y escritura en la configuración del sistema. Los parámetros de los comandos utilizados para este fin se debían cifrar utilizando una clave generada a partir de la información de inicio de sesión y contraseña para iniciar sesión en la configuración. Dado que los investigadores pudieron obtener la versión cifrada del texto del servicio de configuración, se dieron cuenta de que se la podía copiar y enviar de vuelta como parámetro de comando. En el teléfono inteligente, los investigadores le dieron al punto de acceso un nombre que coincidía con el texto cifrado, y luego enviaron al router la orden de buscar puntos de acceso cerca del router. Pero antes de hacerlo, agregaron la palabra “init” al final del nombre.

“Sabíamos que los ocho caracteres después del fragmento de texto cifrado que ya conocíamos era una versión cifrada de la palabra” init “-escriben los investigadores. Y como teníamos el init en forma encriptada, ahora podíamos usarlo como un parámetro de comando para restituir el router a la configuración predeterminada. Entre otras cosas, el login y la contraseña también fueron devueltos a los valores predeterminados.”

Más adelante los investigadores usaron un ataque de desbordamiento de búfer para hacer una simple demostración: lanzaron un código que hizo que los diodos del router parpadeasen en código morse la frase “Hi Senrio”.

El video que muestra este ataque se puede encontrar en un blog dedicado a la vulnerabilidad, que los investigadores publicaron el lunes.

Un estudio de la Universidad israelí Ben Gurion, publicado la semana pasada, mostró que el router no solo puede utilizar sus diodos para transmitir frases graciosas, sino también datos importantes. Los investigadores afirman que lograron recibir datos a una velocidad de 8000 bits por segundo utilizando un router con ocho LEDs.

Además, los investigadores de Senrio argumentan que un atacante podría aprovechar la vulnerabilidad para modificar la configuración de un router, forzándolo a redirigir el tráfico a un servidor malintencionado.

Source: Threatpost

TP-Link corrige una vulnerabilidad que permitía ejecutar código en los routers antiguos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada