Archivos de etiquetas: D-Link

Combinar 3 vulnerabilidades críticas podría permitir la toma de control de routers D-Link

Investigadores de Silesian University of Technology, en Polonia, descubrieron diversas fallas que pueden ser explotadas para tomar el control de algunos routers D-Link.
Las vulnerabilidades halladas son: Directory Traversal (CVE-2018-10822), Password almacenada en texto plano (CVE-2018-10824), e Inyección de comandos en Shell (CVE-2018-10823).
Esto es debido a múltiples vulnerabilidades en el servidor httpd de los routers D-Link, las cuales se encuentran presentes en diversos modelos. Al utilizar estas 3 vulnerabilidades combinadas permiten tomar el control total del router, incluyendo ejecución de código.
Algunos de los modelos afectados son: DWR-116, DWR-111, DWR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, y DWR-921.
La vulnerabilidad de Directory Traversal, permite al atacante que la explota, la facultad de leer archivos arbitrariamente utilizando llamadas HTTP. Anteriormente esta vulnerabilidad fue reportada a D-Link con el CVE-2017-6190, pero el fabricante no mitigó correctamente esta falla. Esto permite que el atacante obtenga acceso al archivo que guarda la contraseña del administrador del dispositivo en texto plano.
Guardar contraseñas en texto plano es seguida con el CVE-2018-10824. Para evitar una explotación masiva, los investigadores no revelaron la ruta donde se encuentra el archivo de las contraseñas.
La otra vulnerabilidad permite que un atacante no autorizado ejecute comandos de forma arbitraria y de esta forma tomar el control total del dispositivo.
Esta situación ya fue comunicada oportunamente a D-Link, pero este fabricante aún no ha tomado acción al respecto, es por esto que se estas vulnerabilidades se hicieron públicas.
Mientras se espera una actualización de seguridad para estos routers, se recomienda que no se les permita acceso desde Internet.
Los investigadores publicaron un video para demostrar este ataque

Aumentan routers afectados por VPNFilter

El malware VPNFilter, una botnet gigante que se dio a conocer hace un par de semanas y que ataca a los routers, acaba de empeorar.
Originalmente se creía que afectaba a unos 15/20 routers domésticos y dispositivos NAS fabricados por Linksys, MikroTik, Netgear, TP-Link y QNAP, ahora se sabe que también están en peligro otros 56 de Asus, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.
Talos (Cisco) obtiene esta información tratando de determinar los modelos en los que se ha detectado VPNFilter, pero dado la extensión del trabajo (hay al menos 500.000 dispositivos infectados, probablemente más), la lista posiblemente no esté completa.
La alerta actualizada confirma que VPNFilter tiene la habilidad de actuar como un man-in-the-middle interceptando el tráfico web HTTP/S, algo que la investigación realizada por SophosLabs sobre este malware había concluido que era muy probable, lo que significa que no solo es capaz de monitorizar el tráfico y capturar credenciales, sino que también potencialmente puede repartir exploits entre los dispositivos conectados a la red.
Los routers domésticos se han convertido en un objetivo importante pero un malware capaz de infectar a tantos es relativamente raro. La última amenaza que afectó a routers de varios fabricantes y que tuvo una incidencia importante probablemente fue DNSChanger, que nadie fue capaz de detectar durante años, habiendo surgido en 2007.
Como VPNFilter es mucho más potente (para comenzar no hay manera sencilla de detectarlo), suponemos que cualquier dueño de uno de los routers afectado habrá tomado las precauciones necesarias.
Pero ¿qué precauciones?
Las posibilidades de que VPNFilter infectara tu router son bajas dado el número de positivos detectados por Talos y la gran cantidad de routers domésticos. Sin embargo, es una buena idea refrescar las precauciones a tomar.
Simplemente encender y apagar el router no es suficiente. Se ha descubierto que partes de VPNFilter pueden sobrevivir este proceso y reinstaurar la infección. Esto solo deja a los dueños el realizar un reseteado completo devolviendo el router a su estado de original de fábrica.
Después de comprobar que se dispone de una conexión por cable al router, hay dos maneras de realizarlo, mientras se está conectado a Internet, o, para más seguridad, cuando se está desconectado. Si se utiliza la segunda opción deberás haber descargado la última versión del firmware del router antes de comenzar.
Si escoges la opción más sencilla el router te guiará durante todo el proceso, después deberás realizar lo siguiente:
Actualiza el firmware a la última versión. Esto es lo más importante porque últimamente los routers son objetivo de los cibercriminales por lo que requieren actualizaciones regulares.
Intenta reinstalar la configuración del router desde un fichero backup que realizaras con antelación, de este manera ahorraras mucho tiempo.
Este también es un buen momento para que cambies el nombre de usuario y contraseña del router. Además deberías chequear si el router tiene activado alguna de las siguientes opciones que deberían estar desactivadas.
Administración web remota.
Enrutamiento de puertos.
Servicios no usados como Telnet, Ping, FTP, SMB, UPnP, WPS y remoto acceso al NAS.
Activa el registro, esto te ayudará en futuras infecciones.
Si tu router no recibe actualizaciones de firmware considera la opción de comprar otro y busca un fabricante que tenga un buen historial ofreciendo actualizaciones de seguridad en un período de tiempo razonable.
En resumen, VPNFilter no es un enemigo tan fiero. No parece que utilice ninguna vulnerabilidad día cero y se aprovecha de contraseñas antiguas o débiles. Esto es un buen recordatorio de la importancia de que deberíamos tener por la seguridad de nuestros routers del mismo modo que lo tenemos por nuestros ordenadores.