Hace casi dos meses HispaSec se hizo eco de la difusión de una
vulnerabilidad que afectaba a cierta serie de routers ADSL instalados
por Telefónica. Hoy podemos decir que dicha vulnerabilidad se está
explotando de forma activa.
La vulnerabilidad, de la que HispaSec se hizo eco el pasado 22 de Enero,
afecta a los routers Efficient SpeedStream 5660, con revisión del
sistema operativo «2.2.1(9R1)». En dicha revisión se cometió un error
que provoca que los filtros IP no funcionen. Es decir, que aunque
instalemos filtros IP, éstos no actuarán.
Los filtros IP se utilizan, por ejemplo, para limitar el acceso
administrativo del router a ciertas IPs. Si los filtros no funcionan,
cualquier usuario de Internet que conozca la clave puede acceder a ellos
y realizar cualquier cambio que desee. Como las claves de los ADSL de
Telefónica son todas iguales y, en la práctica, la clave en cuestión es
de dominio público, el efecto neto es que cualquier usuario de Internet
puede conectarse a esos router y manipularlos de forma arbitraria.
Aunque el cambio más sencillo es inutilizar el router, por ejemplo
desconfigurándolo, puede modificarse la tabla NAT de los equipos para
acceder a la red interna desde el exterior, dejando la red interna
desprotegida a todos los efectos.
Un uso más creativo de las funcionalidades NAT permite utilizar los
routers a modo de «bouncers». Es decir, en vez de mapear un puerto del
router hacia la red interna, se puede mapear de nuevo hacia Internet.
Ello permite conectarse a otra máquina sin que ésta conozca la
procedencia real de la conexión, ya que la IP que recibe es la del ADSL
utilizado como «bouncer». Así, se puede ocultar el origen de una
conexión y lograr un buen nivel de anonimato e impunidad.
De hecho, en las últimas semanas se han detectado en IRC-Hispano (la red
de IRC en castellano más importante del mundo) más de 5000 IPs de ADSLs
«comprometidas» (al menos el equivalente a 20 redes /24), configuradas
para enviar las conexiones hacia diversos nodos de esta red. El efecto
neto es que un atacante puede, fácilmente, barrer canales y servidores
enteros, por el peso de inyectar 5000 conexiones simultaneas bajo su
control.
Los detalles sobre los routers ADSL vulnerables y cómo solucionar el
problema se detallan en nuestro boletín previo sobre el particular.
jcea@hispasec.com
Más información:
Lleida.net denuncia el ataque masivo al IRC hispano desde conexiones
ADSL
http://bandaancha.st/weblogart.php?artid=954
22/01/2002 – Vulnerabilidad en routers Efficient SpeedStream 5660 (ADSL
de Telefónica)
http://www.hispasec.com/unaaldia.asp?id=1185
IRC-Hispano
http://www.irc-hispano.org/
Deja una respuesta