Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Discutida vulnerabilidad en routers Cisco Linksys

Discutida vulnerabilidad en routers Cisco Linksys

Por Deja un comentario

La empresa de seguridad croata DefenseCode publicó la semana pasada un aviso de seguridad en el que señalaba la existencia de una vulnerabilidad grave en los routers Linksys. Aunque Cisco reconoce la vulnerabilidad, existe una discusión sobre los modelos afectados y su gravedad.
La vulnerabilidad permite el acceso como superusuario al sistema Linux que corre en el dispositivo, y está presente en la última versión del firmware para Linksys (4.30.14) y todas las versiones previas. DefenseCode ha publicado un vídeo donde se puede ver la explotación del fallo.
Pero en el vídeo solo se puede observar la ejecución de un programa y la posterior aparición de una shell en un sistema que parece ser el router, sin más detalles del método utilizado.
La vulnerabilidad fue reportada a Cisco hace meses, obteniendo como respuesta que se había solucionado en la última versión del firmware. Según DefenseCode, esto no es correcto. En su aviso de seguridad, se afirma que el problema ha sido probado en el dispositivo WRT54GL, y que otros modelos (incluso de otras marcas) podrían estar afectados.
Aunque Cisco no ha hecho declaraciones por vías oficiales al respecto, sí ha enviado un comunicado al sitio The Register, donde confirma el fallo solo en el modelo WRT54GL y anuncian que se está desarrollando un parche. Tampoco desvelan mucho sobre la vulnerabilidad, pero ciertas recomendaciones a los usuarios afectados pueden dar alguna pista:

«Until this time, customers using the WRT54GL can stay safe by ensuring their wireless network is securely configured, and the only people using an Ethernet cable for connecting to the router are friends«.

De lo que se desprende que Cisco considera la vulnerabilidad explotable solo a través de la red interna de router.
En respuesta a esto, DefenseCode asegura en su blog que, de nuevo «probablemente«, al menos otro modelo de Linksys está afectado e incluso otras marcas y que siguen investigando. Según su política, en dos semanas desde que publicaron el aviso (sobre el día 24 de enero), darán los detalles técnicos del problema.
Más información:
UPCOMING: Cisco Linksys Remote Preauth 0day Root Exploit
http://www.defensecode.com/article/upcoming_cisco_linksys_remote_preauth_root_exploit-33
DefenseCode Security Advisory (UPCOMING): Cisco Linksys Remote Preauth
0day Root Exploit Follow-Up
http://blog.defensecode.com/2013/01/defensecode-security-advisory-upcoming_17.html
Linksys vuln: Cisco responds
http://www.theregister.co.uk/2013/01/17/cisco_responds_to_linksys_vuln/

Francisco López
flopez@hispasec.com

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.