Algunos routers antiguos construidos con la tecnologia WiMAX contienen cuentas de puerta trasera
Estas cuentas de puerta trasera salieron a la luz en septiembre de 2016, cuando los investigadores de seguridad de SEC Consult descubrieron decenas de miles de routers WiMAX que estaban exponiendo su consola de administración basada en web en Internet.Después de la auditoría del firmware de algunos dispositivos, los investigadores encontraron una vulnerabilidad grave, con varias cuentas de puerta trasera.
Los atacantes pueden cambiar la contraseña de la cuenta del administrador
La vulnerabilidad que descubrieron es CVE-2017-3216, que es una omisión de autenticación en el panel de administración basada en web. Según los investigadores, un atacante puede acceder a un archivo en el servidor web integrado envía con estos routers y cambiar la contraseña de la cuenta de administrador principal."Un atacante puede obtener acceso al dispositivo, acceder a la red detrás de él y lanzar nuevos ataques, agregar dispositivos en una red de bots Mirai similar o simplemente espiar a los usuarios", segun el equpo de SEC Consult.
Routers afectados por este problema son: GreenPacket OX350 (Version: ?), GreenPacket OX-350 (Version: ?), Huawei BM2022 (Version: v2.10.14), Huawei HES-309M (Version: ?), Huawei HES-319M (Version: ?), Huawei HES-319M2W (Version: ?), Huawei HES-339M (Version: ?), MADA Soho Wireless Router (Version: v2.10.13), ZTE OX-330P (Version: ?), ZyXEL MAX218M (Version: 2.00(UXG.0)D0), ZyXEL MAX218M1W (Version: 2.00(UXE.3)D0), ZyXEL MAX218MW (Version: 2.00(UXD.2)D0), ZyXEL MAX308M (Version: 2.00(UUA.3)D0), ZyXEL MAX318M (Version: ?), ZyXEL MAX338M (Version: ?)
Pero esto no fue todo SEC Consult investigadores dicen que durante sus operaciones de auditoría, la herramienta que utilizaban recogió una gran cantidad de hashes de contraseñas de tipo Unix codificado en el firmware de algunos routers. Estos tipos de hashes aparecen sólo cuando los dispositivos vienen con cuentas de puerta trasera.
Después de tomar una mirada más cercana en el código, se dieron cuenta de que tanto la vulnerabilidad de omisión de autenticación y las cuentas de puerta trasera se introdujeron a través de un SDK desarrollado por la compañía de hardware taiwanés MediaTek.
Cuando los investigadores, junto con funcionarios de CERT/CC, se acercaron a MediaTek, la compañía dijo que los archivos donde se encontraron estas cuestiones no son parte de su paquete SDK originales.
De acuerdo con SEC Consult, MediaTek señaló con el dedo a ZyXEL como la posible fuente de las adiciones de firmware, tanto para la vulnerabilidad y cuentas de puerta trasera.
Además detectives de SEC Consult anunciarón que otros proveedores afectados - Greenpackets, Huawei, ZTE - todos compran routers de marca blanca de MitraStar, una de las compañías hermanas de ZyXEL. Este descubrimiento reafirma la teoría de que los desarrolladores de MediaTek ZyXEL podrían haber alterado el SDK y luego compartió con sus colegas.
Independientemente de quién modificado el SDK MediaTek, los dispositivos están lejos de propagarse entre los diferentes proveedores de Internet para las puertas traseras para ser su trabajo.
Decenas de miles de enrutadores están disponibles en internet
La mayoría de los routers afectados son bastante antiguo, fabricado alrededor de 2010. Huawei dijo que dejó de apoyar a todos los modelos afectados alrededor del año 2014.A pesar de esto, los investigadores dicen que un nivel de exploración de Internet desenterrado entre 50.000 y 100.000 routers basados en WiMAX vulnerables que estaban exponiendo su interfaz de administración en línea.
A menos que su proveedor de Internet específicamente bloquea el acceso a la interfaz, si se utiliza cualquiera de los routers afectados actualmente, es muy probable que algún operador de la botnet pronto se hará cargo de su dispositivo. Si el router WiMAX le permite bloquear el acceso a la interfaz de administración a través del puerto WAN, que es una buena idea activar dicha función.
