Atendiendo al derecho a réplica que debe existir en cualquier medio de información, publicamos íntegramente la siguiente nota aclaratoria que desde Thomson Telecom nos hacen llegar en relación a la noticia publicada el pasado 12 de noviembre «Acceso a routers vulnerables de uso doméstico».
Hispasec no se hace responsable y no necesariamente está de acuerdo con el contenido de la siguiente información:
Estimado cliente,
Recientemente, algunos sitios web especializados en seguridad han
comenzado a emitir boletines provenientes de individuos protestando
porque podría ser que existieran formas de hackear las pasarelas
suministradas por Thomson.
Thomson ha investigado estas informaciones y quiere informar de su
estado actual.
Descripción del ataque potencial:
El ataque pudo comenzar con el llamado “cross-site scripting attack”
en el PC donde el usuario es invitado a clickar en un link que ejecuta
un script malicioso en el navegador del PC. Este script podría usarse
para perjudicar al PC y también para acceder y reconfigurar la pasarela.
Además podría utilizarse para establecer una sesión de ayuda remota que
podría hacer accesible la pasarela desde la WAN desde ahí en adelante.
Este tipo de ataque LAN-side es perfectamente conocido por la industria
del sector y se ha clasificado como un “ataque de ingeniería social”,
por lo tanto, no es exclusivo de las pasarelas Thomson.
Maneras de reducir el riesgo de sufrir este ataque:
Existen medidas genéricas de protección contra esta clase de “ataques
sociales” tales como la utilización de “bloqueadores de pop up”,
“bloqueadores Java-script”, “filtros anti spam” y muchos otros.
Secundariamente, las pasarelas pueden protegerse en la parte LAN
mediante el uso de nombre de usuario y password. En muchos desarrollos
el “usuario y el password” son públicos y no se invita al usuario a
cambiarlos. La elección de un nombre de usuario y un password seguro
es contraria a la pública, que ha implementado el operador primando
sobre la seguridad, la conveniencia y la facilidad de uso.
Sin embargo incluso en aquellos Operadores/ISPs que han decidido
proteger las configuraciones avanzadas de la pasarela con nombres
seguros de usuario y password, existen también formas de hacer el
bypass a estos nombres de usuario y de password si el denominado
Password Multilevel ha sido utilizado previamente y existe la cuenta
de usuario por defecto sin un usuario y un password seguro.
Al objeto de reducir el riesgo de que la pasarela pueda ser
reconfigurada desde la LAN mediante el uso de scripts maliciosos,
Thomson recomienda las siguientes medidas (tal y como se explican en
todos los manuales de instrucciones de Thomson):
* Configure un nombre de usuario y un password seguros para cada uno de
los usuarios de la pasarela (incluyendo el de por defecto) (Ver el anexo
1: ejemplo de la pasarela genérica Thomson TG780). Incluso si el usuario
por defecto tiene unos permisos de acceso muy limitados, es recomendable
que esté protegido con nombre de usuario y password seguros.
Nota: Este procedimiento requiere que los usuarios deban insertar
siempre su nombre de usuario y su password incluso si desean
reconfigurar algún ajuste de la pasarela.
Aunque Thomson no tiene noticia de que ninguna de sus pasarelas haya
sido hackeada de esta forma, se envía esta nota como medida preventiva.
De aquí en adelante, todos los futuros lanzamientos SW de Thomson
incluirán medidas adicionales de seguridad en relación con el nombre de
usuario y el password para su funcionalidad Password Multilevel.
Sin embargo, si alguno de nuestros usuarios fuera objeto de un ataque
malicioso, recomendamos que se le informe de que la pasarela puede
recobrar el estado original usando la función “reset to factory
defaults” (vuelta a los valores de fábrica originales).
Si tuviera alguna otra consulta sobre estas cuestiones no dude en
contactar con nosotros. Puede tener la seguridad de que le informaremos
sobre cualquier otro desarrollo que aparezca sobre este asunto.
Saludos cordiales,
Más información:
una-al-dia (12/11/2007) Acceso a routers vulnerables de uso doméstico
http://www.hispasec.com/unaaldia/3306
Deja un comentario