Un grupo de investigadores de seguridad que est\u00e1n haciendo el M\u00e1ster de Seguridad de la Universidad Europea de Madrid han descubierto graves vulnerabilidades en una gran cantidad de modelors de routers de operadores. Entre los routers afectados se encuentran fabricantes tan conocidos como Comtrend, Observa Telecom, Huawei, Astoria y Amper entre otros muchos.<\/p>\n
Los principales fallos de seguridad que han descubierto son vulnerabilidades relacionadas con XSS (Cross Site Scripting) persistente, XSS no autenticado, CSRF (Cross Site Request Forgery), denegaci\u00f3n de servicio, escalada de privilegios, puertas traseras, bypass de la autenticaci\u00f3n y tambi\u00e9n el conocido fallo de UPnP que se descubri\u00f3 hace algunos a\u00f1os y que la mayor\u00eda de fabricantes no han parcheado en las \u00faltimas versiones de firmware disponibles. Todos y cada uno de estos fallos de seguridad se han probado f\u00edsicamente con los equipos.<\/p>\n
El fabricante de routers Observa Telecom es uno de los m\u00e1s afectados ya que no s\u00f3lo tiene cuatro equipos vulnerables, sino que en muchos de ellos hay varios fallos graves de seguridad. Los modelos afectados son los siguientes:<\/p>\n
Los tres primeros modelos los ha proporcionado el operador Movistar a sus clientes para sus modalidades de ADSL\/VDSL, el cuarto modelo lo ha proporcionado el operador Vodafone.<\/p>\n
En el caso del AW4062 uno de los fallos de seguridad es el de XSS en varios men\u00fas de su configuraci\u00f3n, esto podr\u00eda hacer que un atacante ejecute comandos arbitrarios para poner en riesgo nuestra privacidad. Tambi\u00e9n se ha encontrado una vulnerabilidad CSRF, una escalada de privilegios y una denegaci\u00f3n de servicio. En el caso del RTA01N, adem\u00e1s de los anteriores fallos tambi\u00e9n se ha encontrado una puerta trasera con un usuario de administrador oculto y tambi\u00e9n el conocido fallo del UPnP.<\/p>\n
El fabricante Comtrend es conocido por proporcionar los routers tanto a Movistar como Jazztel durante a\u00f1os. De hecho , los modelos afectados son los siguientes:<\/p>\n
El primer es el que Movistar proporciona a sus clientes con FTTH, este router es vulnerable a un XSS persistente, CSRF y tambi\u00e9n a la vulnerabilidad de UPnP. El VG-8050 tambi\u00e9n es para FTTH de Movistar y este equipo es vulnerable tanto a un XSS sin autenticaci\u00f3n como a un XSS persistente. El resto de modelos son antiguos de ADSL2+ tanto de Movistar como de Jazztel.<\/p>\n
Los modelos de routers Huawei HG553 y HG556a de Vodafone tambi\u00e9n est\u00e1n afectados por problemas de seguridad, en ambos modelos existe un fallo que permite a un atacante externo sin autenticaci\u00f3n entrar en los archivos del USB conectado al router, adem\u00e1s tambi\u00e9n se podr\u00eda evadir la autenticaci\u00f3n para entrar en el router y resetearlo para fijar los credenciales por defecto. En estos modelos tampoco falta un XSS persistente, un CSRF y el fallo del UPnP.<\/p>\n
Os recomendamos visitar este enlace<\/strong><\/a> donde encontrar\u00e9is todos los detalles sobre las vulnerabilidades descubiertas y los fabricantes afectados.<\/p>\n","protected":false},"excerpt":{"rendered":" Un grupo de investigadores de seguridad que est\u00e1n haciendo el M\u00e1ster de Seguridad de la Universidad Europea de Madrid han descubierto graves vulnerabilidades en una gran cantidad de modelors de routers de operadores. Entre los routers afectados se encuentran fabricantes … Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":47068,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[63,64,36],"tags":[132],"class_list":["post-47067","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking","category-informacion","category-internet","tag-software"],"_links":{"self":[{"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/posts\/47067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/comments?post=47067"}],"version-history":[{"count":0,"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/posts\/47067\/revisions"}],"wp:attachment":[{"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/media?parent=47067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/categories?post=47067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nerdilandia.com\/index.php\/wp-json\/wp\/v2\/tags?post=47067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}