19000 Routers Orange Livebox ADSL pierden credenciales WiFi

Los hackers están intentando explotar una falla en los módems ADSL de Orange LiveBox para recuperar su contraseña de SSID y WiFi en texto plano.

Los actores de amenazas en el mundo salvaje están intentando explotar una vulnerabilidad en los módems LiveBox ADSL de Orange, el problema podría ser activado para recuperar su contraseña de SSID y WiFi en texto simple simplemente enviando una solicitud a los dispositivos.

La falla rastreada como CVE-2018-20377 se conoce al menos desde 2012 cuando Rick Murray lo describió en una publicación de blog .

Los expertos de Bad Packets observaron una exploración dirigida a su honeypot, una investigación más profunda les permitió descubrir que estaban filtrando los detalles de acceso a la red local.

El cofundador de Bad Packets, Troy Mursch, encontró 19,490 sistemas LiveBox expuestos en línea usandoShodan , estos dispositivos expusieron la información en texto sin formato a través de una solicitud GET para /get_getnetworkconf.cgi.

“El viernes 21 de diciembre de 2018, nuestros honeypots observaron una exploración interesante que consistía en una solicitud GET para /get_getnetworkconf.cgi. Tras una investigación adicional, descubrimos que este tráfico estaba dirigido a los módems ADSL de Orange Livebox ”. Lee el análisis publicado por los expertos.

"Existe una falla en estos módems que permite a los usuarios remotos no autenticados obtener el SSID y la contraseña de WiFi del dispositivo".

Los expertos también descubrieron que 2,018 no filtraban información, y 8,391 no respondían a las exploraciones.

Los investigadores notaron que muchos de los dispositivos que filtran su contraseña de WiFi usan la misma contraseña para acceder al panel de configuración y la red inalámbrica.

Mursch también informó que muchos dispositivos expuestos utilizan credenciales predeterminadas (es decir, admin / admin).

“Esto permite que cualquier usuario remoto pueda acceder fácilmente al dispositivo y modificar maliciosamente la configuración del dispositivo o el firmware. Además, pueden obtener el número de teléfono vinculado al módem y realizar otros ataques graves detallados en este repositorio de Github . ”Continúa el análisis.

La mayoría de los dispositivos vulnerables estaban ubicados en la red de Orange España (AS12479). La fuente de escaneo inicial fue de 81.38.86.204 que es una dirección IP asociada con un cliente de Telefónica España.

El experto señaló que la fuente está físicamente más cerca de los módems ADSL de Orange Livebox afectados que un actor de amenazas en otro país. Esto significa que un atacante podría conectarse a la red WiFi (SSID) si está cerca de los módems vulnerables,

Los expertos compartieron los detalles de su análisis con Orange España, Orange-CERT y CERT España.


Fecha actualización el 2018-12-26. Fecha publicación el 2018-12-26. Categoria: routers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs.
routers