Hace aproximadamente un mes, se dieron a conocer múltiples vulnerabilidades en los routers y hubs de Thomson, más concretamente en los modelos: Thomson SpeedTouch 780 6.x,Thomson SpeedTouch 716 5.x, BT Home Hub y Thomson/Alcatel SpeedTouch 7G 6.x.
Dichas vulnerabilidades podrían ser aprovechadas por un atacante remoto para ganar control total sobre los routers, requiriéndose únicamente que el usuario visite una página web maliciosa. Una vez tomado el control sobre los dichos routers, un atacante remoto podría aprovecharlo para causar una denegación de servicio o para perpetrar ataques de distinta naturaleza.
Según los distintos modelos afectados y de acuerdo con la información aportada por Adrian Pastor y las comprobaciones realizadas por consultores independientes, las vulnerabilidades son las siguientes:
* Para el modelo Thomson SpeedTouch 780 se han encontrado dos vulnerabilidades que podrían ser explotadas por un atacante remoto para conducir falsificaciones de peticiones y ataques de cross-site scripting. Éstas han sido comprobadas para los sistemas que usan la versión 6.1.4.3 del firmware, aunque también podría afectar a los aparatos que lleven instaladas otras versiones.
1- La primera permitiría a usuarios realizar ciertas acciones por medio de peticiones HTTP que no son validadas por parte del router. Por ejemplo, cambiar la contraseña de administrador si éste visita una web maliciosa, tomando el control del sistema vulnerable.
2- La segunda vulnerabilidad está provocada por un fallo al validar de forma adecuada el parámetro de entrada ‘url’ en cgi/b/ic/connect/ antes de ser devuelto al usuario. Esto podría ser explotado por un atacante remoto para conducir ataques de cross-site scripting ejecutando código HTML y JavaScript arbitrario en el contexto de seguridad del navegador.
* Se ha comprobado que la segunda vulnerabilidad introducida anteriormente también afecta a los modelos Thomson SpeedTouch 716 con la versión 5.4.0.14 del firmware, pudiendo ser vulnerables también aquellos que tengan una versión de firmware distinta.
* Se ha comprobado que la primera vulnerabilidad citada anteriormente afecta también a los modelos de hub distribuidos en el Reino Unido por British Telecom y al modelo SpeedTouch 7G de Thomson con la versión 6.2.2.6 del firmware; También podría afectar a los modelos provistos con otra versión distinta de firmware. Además los citados productos también se ven afectados por otras dos vulnerabilidades descritas a continuación.
3- Existe un error de validación de entrada al procesar URLs que podría ser aprovechado por un atacante remoto para acceder a recursos protegidos por contraseña, como la configuración del router, con la posibilidad de realizar modificaciones de arbitrarias de dicha configuración.
4- Se ha encontrado que la entrada ‘name’ tampoco se valida de forma adecuada, tal y cómo sucedía anteriormente con la entrada ‘url’, lo que podría ser aprovechado por un atacante remoto para conducir ataques de cross-site scripting.
En la página web de Adrian Pastor se incluyen más detalles sobre las vulnerabilidades y una serie de exploits para aprovecharlas. Entre otras cosas se explica como robar la clave WEP o WPA, como provocar ataques de cross-site scripting o como establecer una puerta trasera para ganar control total sobre el sistema afectado.
Adrian Pastor y su equipo se pusieron en contacto con British Telecom y Thomson después de que incluso la BBC se hiciera eco de una denegación de servicio múltiple que tuvo lugar el día 13 del pasado mes de Octubre. La respuesta se ha dado a conocer hoy, casi un mes después de que muchos británicos se quedaran momentáneamente sin acceso a Internet, al verse publicada una actualización para el firmware de los routers (versión 6.2.6.B) que solventa la vulnerabilidad que tenía un mayor nivel de riesgo, la cual hacía posible crear una puerta trasera para para acceder y obtener el control sobre el router. Además se ha deshabilitado el acceso a telnet y los contenidos del archivo de configuración están ahora cifrados. Aunque, trascurrido un mes, todavía no se han parcheado el resto de vulnerabilidades.
pmolina@hispasec.com
Deja una respuesta