Los atacantes pueden tomar el control del dispositivo, colocar virus o ver las comunicaciones. Marcas comprometidas.
investigadores de Faradayuna empresa argentina de seguridad informática, descubrió una falla que afecta enrutadores Los más vendidos en América Latina. Esta es una vulnerabilidad que permite a los atacantes ejecutar programas de forma remota sin el permiso del usuario, tener control total del equipo y depositar virus o interceptar comunicaciones.
La falla, llamada CVE-2022-27255se encuentra en lo que se denomina el “SDK” de realtek (empresa que fabrica semiconductores -componentes electrónicos-), esto se desborda hacia otras marcas como Everest, D-Link, Nexxt, Nisuta, Tenda, Zyxel y otros mas.
“La vulnerabilidad que detectamos en Realtek SDK no es solo para enrutadores, sino también para puntos de acceso y repetidores. Puede ser utilizado por un atacante para ejecutar código de forma remota en el enrutador sin la intervención del usuario y con la configuración predeterminada. Esto le permitiría tener un control total sobre el dispositivo”, explicó. Octavio Gianatiempoinvestigador de Faraday, a Clarín.
Desde Las Vegas, donde se lleva a cabo Defcon 2022, una de las conferencias de hackers más grandes del mundo, aclaró qué es el SDK: “El Kit de desarrollo de fuente es un código que proporciona una funcionalidad básica sobre la que un desarrollador puede desarrollar. En este caso Realtek, el fabricante de los chips que utilizan estos routers, proporciona un SDK que tiene las funcionalidades de red y la interfaz web del router. Luego, los desarrolladores agregan su marca, su diseño y, si lo desean, características adicionales”.
El problema, que había sido reconocido por Realtek en marzo, fue encontrado por el equipo de investigación de Faraday, compuesto por Gianatiempo, Octavio Galland, Emilio Couto and Javier Aguinaga.
Lo vieron en el router más vendido de Mercado Libre en Argentina, el Nexxt Nebula 300 plus.
“Pero luego descubrimos que era parte del Realtek SDK. Esto implica que otras marcas que fabrican routers basados en este SDK han alta probabilidad de ser vulnerable”, explica Gianatiempo.
Como los enrutadores se utilizan para compartir la conexión entre dispositivos en la red interna, no es un problema que provenga de contratar un proveedor de Internet, que utiliza módems para establecer la conexión.
En general, afectará a aquellos usuarios que hayan comprado un router para mejorar el reparto de conectividad en el hogar. O, a mayor escala, -y quizás con consecuencias más graves- en las empresas.
Qué hacer si tu router tiene la falla
Lo primero que hay que decir es que la vulnerabilidad está clasificada como de alta gravedad y alto impacto según el Instituto SANS. Lo que significa que su alcance es muy grande.
La segunda es que hasta el momento han identificado 30 dispositivos de 20 marcas diferentes. Pero, advierte Faraday, es probable que haya más.
“Buscando en Mercadolibre para toda Latinoamérica la cantidad de ventas de routers afectados, encontramos al menos 130.000 ventas. Con Shodan, encontramos al menos 60 000 dispositivos vulnerables en todo el mundo con un panel de administración expuesto. Pero por defecto el panel no está expuesto por lo que el número sería aún mayor”, explica Gianatiempo.
La única solución actual es descargar la última versión del firmware del enrutador y consultar directamente con las notas del parche para ver si cubren la vulnerabilidad CVE-2022-27255.
El problema es que si el proveedor del enrutador no aplica un parche, no hay nada que hacer sino considere cambiarlo.
Por el momento, estos enrutadores seguros se ven afectados:
- Nexxt Nebulosa 300 Plus
- Tende F6 V5.0
- Tende F9 V2.0
- Tende AC5 V3.0
- Tenda AC6 V5.0
- Tenda AC7 V4.0
- Tenda AC8 V2.0
- Tenda AC10 V3
- Tende AC11 V2.0
- Tienda N301 V2.0
- Tende FH456 V4.0
- Zyxel NBG6615 V1.00
- Intelbras RF 301K V1.1.5
DefCon y participación argentina
defcon es, junto con Sombrero negro, una de las convenciones de hackers más grandes del mundo. Se lleva a cabo en Las Vegas todos los años desde 1993 y reúne a investigadores en la seguridad cibernéticaperiodistas, abogados y todo tipo de personalidades relacionadas con el mundo del hacking.
“Para dar una charla, tienes que aplicar explicando los detalles técnicos de tu investigación y cómo los vas a presentar. Ser aceptado en una de estas dos conferencias implica que la investigación es de buen nivel y de interés para la comunidad de todo el mundo que asiste a estos eventos”, explica Gianatiempo.
La investigación técnica de Faraday, una empresa de código abierto que detecta fallas de seguridad informática junto con sus soluciones, se puede leer aquí.
SL