Durante los últimos meses hemos visto varios ejemplos en los que dispositivos del Internet de las cosas se han visto involucrados, ya sea como víctimas o como participantes en ataques a gran escala de forma involuntaria. Desde los ataques provocados por la botnet Mirai que empezaron a finales de octubre, se ha puesto un especial foco de atención en dispositivos como los routers, presentes en millones de hogares y, en la mayoría de casos, totalmente desprotegidos.
Routers Netgear vulnerables
Por si aún queda alguien que no esté al tanto de las vulnerabilidades descubiertas en varios modelos de router Netgear, vamos a repasar en qué consisten estos fallos de seguridad. Al parecer, un investigador que responde al nick de AceW0rm informó a Netgear el pasado 25 de agosto de una vulnerabilidad en sus routers sin obtener, aparentemente, una respuesta.
Esto provocó que el pasado 10 de noviembre este investigador publicase información acerca de cómo explotar esta vulnerabilidad, además del código necesario para realizar una prueba de concepto. Entre la información publicada se encuentra el siguiente vídeo, en el que se observa que un atacante podría ejecutar comandos con privilegios de administrador o root en uno de los routers vulnerables estando conectado a la misma red local.
Al poco de publicarse esta información, varios investigadores comprobaron que la vulnerabilidad no afectaba únicamente a un modelo en concreto, sino que hasta el momento son 12 los modelos de Netgear afectados. Estos son:
- R6250
- R6400
- R6700
- R6900
- R7000
- R7100LG
- R7300DST
- R7900
- R8000
- D6220
- D6400
- D7000
Si tu modelo de router se encuentra entre los afectados, te recomendamos que sigas leyendo.
Funcionamiento del ataque
Puede sonar a broma, pero la forma de explotar esta vulnerabilidad es sumamente sencilla, al menos si se realiza desde la misma red local en la que se encuentra el router, y permitiría a un atacante inyectarle comandos. Estas acciones podrían incluso conseguir el control del router y, por ende, los datos que pasan a través de él.
Podemos comprobar si nuestro router Netgear es vulnerable escribiendo la siguiente línea en el navegador:
http://routerlogin.net/cgi-bin/;uname
En caso de ser vulnerable, este comando nos devolverá la versión del sistema Linux que tiene instalado el router.
No obstante, el verdadero peligro existe si la opción de controlar el router de forma remota se encuentra activada, algo que viene por defecto. Esto permitiría automatizar los ataques a estos routers y conseguir tomar su control para realizar acciones delictivas, motivo por el cual incluso el US-CERT ha lanzado un aviso para alertar del peligro de estos dispositivos vulnerables.
Si, por ejemplo, alguien quisiera conseguir una botnet con miles de dispositivos bajo su mando, podría lanzar un ataque escaneando direcciones IP públicas en busca de estos modelos de routers vulnerables y lanzar comandos que le permitieran tomar el control. A partir de ahí, los routers obedecerían sus órdenes y podrían lanzar ataques de denegación de servicios distribuidos contra cualquier objetivo que le apetezca.
Respuesta de Netgear
Ante esta situación, Netgear no podía quedarse de brazos cruzados y no ha tardado en publicar unos firmware provisionales que pueden descargarse desde el enlace preparado para tal efecto, y que solucionan esta vulnerabilidad. Se recomienda encarecidamente a los usuarios que tengan alguno de los dispositivos afectados que los actualicen tan pronto como sea posible.
Sin embargo, el mayor problema al que nos enfrentamos es que muchos de los usuarios que cuentan con estos routers vulnerables no leerán estos avisos ni sabrán cómo actualizar el firmware. Es por eso que se debe hacer más hincapié en concienciar a los usuarios de la importancia de mantener actualizados, siempre que sea posible, todos aquellos dispositivos conectados, siendo el router uno de los más importantes.