Una vulnerabilidad en los routers Netgear, ya divulgada por dos grupos de investigadores de diferentes empresas de seguridad, ha sido explotada públicamente.
Netgear, por su parte, aún tiene que liberar el firmware parchado, a pesar de aparentemente haber construido un y confirmar con una de las empresas en privado que se solucionaba adecuadamente el problema.
Alexandre Herzog, director de tecnología de Compass Segurity Schweiz Ltd., de Suiza, dijo que la víctima no identificada se dio cuenta del ataque al investigar las razones detrás de cierta inestabilidad en su router. Descubrió que todas sus consultas DNS habían sido redirigidos al servidor del atacante. La víctima proporcionó a Compass la dirección IP de uno de los servidores de comando y control involucrados en el ataque. Herzog dijo que su compañía fue capaz de descargar datos desde el servidor del atacante y determinó que otros más de 10.000 routers ya habían sido explotados.
Herzog dijo que Compass informó a GovCERT nacional de Suiza, que dijo que ha comenzado la acción de apagar el servidor del atacante, contactar a Netgear sobre el nuevo firmware y contactar proveedores de servicios de Internet con el fin de arreglar los routers infectados; la mayor parte de las víctimas, dijo GovCERT, se encuentran en los Estados Unidos. Herzog dijo que GovCERT no ha tenido éxito en hablar con Netgear.
Daniel Haake de Compass descubrió y divulgó de forma privada las vulnerabilidades en julio; a finales de septiembre, los investigadores de Shellshock Labs también la descubrieron y dieron a conocer públicamente los defectos.
La vulnerabilidad es una derivación de la autenticación remota explotable que afecta firmware del router Netgear N300_1.1.0.31_1.0.1.img y N300-1.1.0.28_1.0.1.img. La falla permite a un atacante, sin saber la contraseña del router, acceder a la interfaz de administración.
"El único requisito previo para el ataque es que el atacante pueda llegar a la interfaz de administración web, que se puede llegar de forma predeterminada en la red interna", dijo Herzog. "Con la administración remota habilitada (no por defecto), el ataque sólo necesita ser conectado a Internet para explotar la falla. Un atacante con acceso físico al router puede sabotear de todos modos."
Con pleno acceso a la página de administración y configuración, un atacante podría hacer man-in-the-middle al tráfico de red, re-configurar los ajustes de DNS para redirigir el tráfico a un servidor de terceros, o degradar la comunicación SSL utilizando una serie de herramientas disponibles, como sslstrip desarrollado por Moxie Moulinsart.
Compass explica en su aviso de que un atacante sólo necesita hacer peticiones a una URL en particular varias veces después de que inicialmente no podía autenticarse en el router; finalmente iban a tener acceso a la interfaz de administración, sin pasar por un mensaje para introducir las credenciales.
De acuerdo con la línea de tiempo desde el descubrimiento, Netgear se notificó el 21 de julio a través de correo electrónico y 23 de julio a través de soporte de chat, que al día siguiente redirigió la notificación al equipo técnico de Netgear. A continuación, casi un mes después de la solicitud de una actualización de estado ignorada el 29 de julio, Compass puso a Netgear en aviso que revelaría detalles después de 90 días. El 3 de septiembre, Netgear envió a Compass un firmware beta para determinar si el problema había sido parchado adecuadamente, que Compass confirmó. Seis días más tarde, Netgear dijo a Compass que no quiso revelar una fecha de lanzamiento para el firmware actualizado. Mientras tanto, Shellshock labs hizo publica la falla el 29 de septiembre, lo que provocó que Compass hiciera lo mismo.
"Probablemente la parte más difícil es construir y enviar el nuevo firmware, y lograr que todos los clientes lo instalen", dijo Herzog. "La forma en que la autenticación funciona en el router parece muy complicada para nada, así que tal vez estoy subestimando el esfuerzo. Pero esto es más una cuestión de Netgear, que no ofrece ninguna justificación de sus retrasos ".
Netgear, por su parte, aún tiene que liberar el firmware parchado, a pesar de aparentemente haber construido un y confirmar con una de las empresas en privado que se solucionaba adecuadamente el problema.
Alexandre Herzog, director de tecnología de Compass Segurity Schweiz Ltd., de Suiza, dijo que la víctima no identificada se dio cuenta del ataque al investigar las razones detrás de cierta inestabilidad en su router. Descubrió que todas sus consultas DNS habían sido redirigidos al servidor del atacante. La víctima proporcionó a Compass la dirección IP de uno de los servidores de comando y control involucrados en el ataque. Herzog dijo que su compañía fue capaz de descargar datos desde el servidor del atacante y determinó que otros más de 10.000 routers ya habían sido explotados.
Herzog dijo que Compass informó a GovCERT nacional de Suiza, que dijo que ha comenzado la acción de apagar el servidor del atacante, contactar a Netgear sobre el nuevo firmware y contactar proveedores de servicios de Internet con el fin de arreglar los routers infectados; la mayor parte de las víctimas, dijo GovCERT, se encuentran en los Estados Unidos. Herzog dijo que GovCERT no ha tenido éxito en hablar con Netgear.
Daniel Haake de Compass descubrió y divulgó de forma privada las vulnerabilidades en julio; a finales de septiembre, los investigadores de Shellshock Labs también la descubrieron y dieron a conocer públicamente los defectos.
La vulnerabilidad es una derivación de la autenticación remota explotable que afecta firmware del router Netgear N300_1.1.0.31_1.0.1.img y N300-1.1.0.28_1.0.1.img. La falla permite a un atacante, sin saber la contraseña del router, acceder a la interfaz de administración.
"El único requisito previo para el ataque es que el atacante pueda llegar a la interfaz de administración web, que se puede llegar de forma predeterminada en la red interna", dijo Herzog. "Con la administración remota habilitada (no por defecto), el ataque sólo necesita ser conectado a Internet para explotar la falla. Un atacante con acceso físico al router puede sabotear de todos modos."
Con pleno acceso a la página de administración y configuración, un atacante podría hacer man-in-the-middle al tráfico de red, re-configurar los ajustes de DNS para redirigir el tráfico a un servidor de terceros, o degradar la comunicación SSL utilizando una serie de herramientas disponibles, como sslstrip desarrollado por Moxie Moulinsart.
Compass explica en su aviso de que un atacante sólo necesita hacer peticiones a una URL en particular varias veces después de que inicialmente no podía autenticarse en el router; finalmente iban a tener acceso a la interfaz de administración, sin pasar por un mensaje para introducir las credenciales.
De acuerdo con la línea de tiempo desde el descubrimiento, Netgear se notificó el 21 de julio a través de correo electrónico y 23 de julio a través de soporte de chat, que al día siguiente redirigió la notificación al equipo técnico de Netgear. A continuación, casi un mes después de la solicitud de una actualización de estado ignorada el 29 de julio, Compass puso a Netgear en aviso que revelaría detalles después de 90 días. El 3 de septiembre, Netgear envió a Compass un firmware beta para determinar si el problema había sido parchado adecuadamente, que Compass confirmó. Seis días más tarde, Netgear dijo a Compass que no quiso revelar una fecha de lanzamiento para el firmware actualizado. Mientras tanto, Shellshock labs hizo publica la falla el 29 de septiembre, lo que provocó que Compass hiciera lo mismo.
"Probablemente la parte más difícil es construir y enviar el nuevo firmware, y lograr que todos los clientes lo instalen", dijo Herzog. "La forma en que la autenticación funciona en el router parece muy complicada para nada, así que tal vez estoy subestimando el esfuerzo. Pero esto es más una cuestión de Netgear, que no ofrece ninguna justificación de sus retrasos ".
