Millones de módems son vulnerables al fallo de seguridad 'Cable Haunt'
- Vulnerabilidades
El problema radica en el software de referencia subyacente utilizado por varios fabricantes de módems de cable para crear el firmware del dispositivo, que los hace vulnerables a un ataque de enlace DNS. 200 millones de módems se ven potencialmente afectados solo en Europa.
Múltiples módems de cable utilizados por los ISPs para proporcionar banda ancha en los hogares tienen una vulnerabilidad crítica en su arquitectura de referencia subyacente que permitiría a un atacante tomar el control remoto completo del dispositivo. Apodado "Cable Haunt" por los investigadores de Lyrebirds, el fallo (CVE-2019-19494) se encuentra en los módems de cable en múltiples proveedores, incluidos Netgear, Sagemcom, Technicolor y otros.
|
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
El fallo se originó en el software de referencia escrito por Broadcom, que ha sido copiado por diferentes fabricantes de módems de cable y utilizado en el firmware de los dispositivos. El error esencialmente permite un desbordamiento del búfer, lo que podría permitir a un atacante remoto ejecutar código arbitrario a nivel del kernel a través de JavaScript ejecutado en el navegador de la víctima.
Más específicamente, "los módems de cable son vulnerables a un ataque de enlace DNS que permite desbordar los registros y ejecutar funciones maliciosas", explican los investigadores. "El exploit es posible debido a la falta de protección contra ataques de enlace DNS, credenciales predeterminadas y un error de programación en el analizador del espectro". El enlace DNS es una técnica que convierte el navegador de una víctima en un proxy para atacar redes privadas. "Sin este ataque de enlace DNS, el analizador de espectro solo sería explotable en la red local", aclaran los investigadores.
Si se explotan con éxito, las vulnerabilidades pueden dar a los atacantes control remoto total sobre toda la unidad y todo el tráfico que fluye a través de ella, mientras que son invisibles tanto para el usuario como para el ISP. Los atacantes podrían interceptar mensajes privados, redirigir el tráfico, agregar los módems a botnets, reemplazar su firmware y más. También podrían indicarle al módem que ignore las actualizaciones remotas del sistema, lo que podría complicar cualquier proceso de parcheo.
Los investigadores de Lyrebirds afirman que hay 200 millones de módems potencialmente afectados solo en Europa. Muchos ISPs europeos ya están implementando actualizaciones para corregir el fallo.
