Miles de cable módems fabricados por la empresa de telecomunicaciones con sede en Georgia, Arris sufren de una serie de problemas: vulnerabilidades XSS y CSRF, contraseñas grabadas en memoria, y lo que un investigador está llamando una puerta trasera dentro de una puerta trasera.
El investigador brasileño Bernardo Rodrigues se encontro con los problemas desde hace varios meses mientras investigaba la seguridad de los cable módems para una conferencia de seguridad y las dio a conocer la semana pasada.
Según los informes los módems contienen una biblioteca no documentada que actúa como una puerta trasera, a su vez, lo que permite conexiones privilegiadas utilizando una contraseña personalizada.
ARRIS Cable Modem has a Backdoor in the Backdoor https://t.co/1tygYzClFL #backdoor #cablemodem #arris pic.twitter.com/NtSI37YI3v— Bernardo Rodrigues (@bernardomr) noviembre 19, 2015Tras una búsqueda en Shodan, Rodrigues estima que más de 600.000 equipos de acceso externo son vulnerables a esta puerta trasera y que los módems TG862A, TG860A y DG860A se ven afectados.
Una puerta trasera ya se conocía desde hace tiempo, por lo menos desde el 2009, y se basa en un algoritmo conocido públicamente. Para explotarlo un atacante tendría que estar familiarizado con el algoritmo, la fecha, y la semilla para tener acceso al dispositivo. Rodrigues dice que hay un generador de "contraseña del día" que utiliza una semilla codificada DES para establecer una contraseña a diario, pero se basa en una semilla por defecto, MPSJKMDHAI.
Una vez dentro, un atacante podría "activar Telnet y SSH de forma remota a través de la interfaz de administración HTTP oculta", o mediante un MIB de SNMP.
"La contraseña predeterminada para el usuario SSH 'root' es "arris". Cuando accede a la sesión de telnet o autentica a través de SSH, el sistema genera un shell 'mini_cli' pidiendo la contraseña de puerta trasera ", Rodrigues escribió en su divulgación la semana pasada.
La terminal proporcionada por el generador de "password del día" se puede escapar y utilizar una contraseña escrita en el módem - los últimos cinco dígitos del número de serie del dispositivo.
"Iniciar de sesión como técnico con el 'password del día' proporciona una terminal mini_cli restringida. Esta cubierta puede ser escapada a una terminal BusyBox completa; iniciando sesión utilizando la contraseña codificada proporcionada por la shell BusyBox," lee un aviso sobre el tema publicado por el CERT/CC," Se ha informado de que estas vulnerabilidades, particularmente las contraseñas no modificables, están siendo explotadas actualmente ".
Aparte de la puerta trasera y la contraseña codificada, la advertencia del CERT/CC afirma que ciertos parámetros en la interfaz de administración web de los modems 'también son vulnerables a ambas vulnerabilidades cross-site scripting (XSS) y vulnerabilidades de falsificación de solicitud cross-site (CSRF).
Rodrigues dijo que Arris fue menos receptivo cuando se informó por primera vez los defectos, pero que CERT/CC demostró ser útil y ayudo en atraer la atención de la compañía.
Cuando se le solicito a un portavoz de la empresa información al respecto, comento que Arris estaba "trabajando día y noche en las actualizaciones de módem" para hacer frente a la vulnerabilidad, pero insistió en que cualquier riesgo asociado a la vulnerabilidad, mientras tanto, es baja y que la empresa no tenía conocimiento de ningún exploit relacionado con ello.
