Detectan vulnerabilidades en routers de Huawei y Palo Alto Networks

Los ataques a routers son cada vez más frecuentes, ya que existen millones de dispositivos sin actualizar y gravemente expuestos, por lo que representan una puerta de entrada a la red para los cibercriminales. De hecho, Hispasec se ha hecho eco de nuevas vulnerabilidades en routers de los fabricantes Huawei y Palo Alto Networks que han sido explotadas.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Por un lado, a finales de noviembre, Checkpoint advirtió de una grave vulnerabilidad remota en routers Huawei HG532, pero ha sido ahora cuando se ha conocido su uso en el despliegue de una nueva botnet basada en Mirai. La vulnerabilidad se presentaría por unas incorrectas políticas de seguridad en la implementación del protocolo de administración remota TR-064, permitiendo que un atacante pueda, a través de peticiones especialmente manipuladas al puerto 37215, ejecutar comandos en el dispositivo y tomar control del mismo.

En concreto, el servicio vulnerable detectado por los investigadores de Checkpoint sería el "DeviceUpgrade", encargado de actualizar el dispositivo. Mediante peticiones a este servicio y la inclusión de comandos bajo los apartados 'NewStatusURL' y 'NewDownloadURL', se podría descargar y ejecutar código arbitrario. Una vez infectado el dispositivo, pasaría a formar parte de esta nueva variante de botnet Mirai, denominada por Checkpoint como OKIRU/SATORI, que presenta una alta actividad en países como Estados Unidos, Alemania, Italia o Egipto, entre otros. Huawei ya ha publicado las contramedidas necesarias para bloquear este tipo de ataques, principalmente, activando el cortafuegos del dispositivo.

Por otro lado, el investigador en seguridad Philip Pettersson ha alertado sobre una grave vulnerabilidad en los routers del fabricante Palo Alto Networks, capaz de ser explotada remotamente y sin autenticación a través de la interfaz Web de administración, permitiendo el control total del dispositivo. El análisis determina que los routers se verían afectados por un conjunto de fallos que permitirían a un atacante ejecutar código remoto con permisos de ROOT.

Ya se han publicado exploits que comprueban la viabilidad de esta vulnerabilidad, confirmándose que existe un porcentaje importante de dispositivos que tienen la interfaz web accesible vía WAN y no han sido actualizados, siendo vulnerables. Afortunadamente, el fabricante ha publicado los parches necesarios para actualizar PAN-OS en todas sus versiones disponibles.