Un fallo de seguridad compromete múltiples módems de Orange España

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Los investigadores han descubierto un fallo en una cantidad de módems suministrados por Orange que permiten a los usuarios remotos no autenticados obtener el SSID y la contraseña WiFi del dispositivo.

El viernes 21 de diciembre, los honeypots de Bad Packets observaron un tráfico sospechoso proveniente de módems ADSL Orange Livebox, según un post de uno de los co-fundadores de la compañía, Troy Mursch. De los 30.063 hosts IPv4 encontrados, las investigaciones de la empresa revelaron que 19.490 dispositivos filtraban sus credenciales WiFi (SSID / contraseña) en texto sin formato. Unos 2.018 adicionales no filtraban ninguna información, pero seguían expuestos a Internet, y 8.391 no respondieron a las investigaciones.

Una buena parte los dispositivos que filtraban sus contraseñas usan las mismas credenciales para administrar el dispositivo, en lo que los investigadores llaman "reutilización de la contraseña", o no han instalado ninguna contraseña personalizada, lo que significa que los valores predeterminados de fábrica aún se aplican. "Esto permite a cualquier usuario remoto acceder fácilmente al dispositivo y modificar maliciosamente la configuración o el firmware del dispositivo", señala Mursch. Además, los atacantes que exploten este fallo pueden obtener el número de teléfono vinculado al módem y realizar otras acciones maliciosas.

La mayoría de los dispositivos afectados se encontraron en la red de Orange España. Los investigadores se abstuvieron de hacer públicos los detalles técnicos, debido a la naturaleza sensible del fallo. Sin embargo, sí compartieron la parte técnica de sus hallazgos, incluidas las direcciones IP de los módems afectados, con Orange y la policía para su investigación y remediación.

La exploración inicial detectada por los honeypots de Bad Packets provino de una dirección IP que pertenecía a un cliente de Telefónica España, lo que indica que un presunto atacante en particular sería local. "Si bien solo podemos adivinar cuál fue el motivo detrás de estas exploraciones, es interesante descubrir que la fuente está físicamente más cerca de los módems ADSL Livebox afectados que un actor de amenazas en otro país. Esto podría permitirles conectarse a la red WiFi (SSID) si estuvieran cerca de uno de los módems indexados por sus exploraciones", concluye Mursch.