Se han encontrado 5 agujeros en el firmware que se ejecuta en los módems Arris tres de los cuales son codificados cuentas de puerta trasera.
Un atacante podría utilizar cualquiera de estas tres cuentas para acceder y controlar el dispositivo con privilegios elevados, incluso la raíz, e instalar el nuevo firmware, y entrampar el módem en una botnet más grande.
Las vulnerabilidades salieron a la luz después de una revisión del firmware Arris llevada a cabo por expertos de NOMOTION Labs.
De acuerdo con NOMOTION, los defectos se encuentran tanto en el firmware estándar Arris, sino también en el código extra añadido en la parte superior por fabricantes de equipos originales. En su investigación, los expertos analizaron un módem Arris instalado en la red de AT & T.
Los investigadores dijeron que los defectos afectan a los modems NVG589 y NVG599. Ambos modelos no están disponibles a través del sitio web de Arris y parecen ser productos descontinuados. Sobre la base de los datos Censys y Shodan, los investigadores creen que hay al menos 220.000 de estos módems vulnerables conectados en línea.
A continuación se muestra un resumen de todos los defectos que los investigadores han descubierto
Puerta trasera 1
Los módems vienen con SSH activado por defecto y expuestos a las conexiones externas. Los atacantes podrían utilizar el nombre de usuario y contraseña por defecto combinado "remotessh/5SaP9I26" para autenticar en cualquier módem con acceso root, esto significa que un atacante puede hacer lo que quiera en el dispositivo.Los investigadores dijeron que sólo identifican alrededor de 15.000 módems Arris que ofrece esta puerta trasera, es decir, los ISP o los OEM más probable es bloqueado el acceso SSH externo a la mayoría de los dispositivos.
Puerta trasera 2
Arris módems vienen con un servidor web incorporado que sigue su panel de administración interna. Los atacantes pueden autenticarse en el puerto 49955 con el nombre de usuario "tecnología" y una contraseña vacía.Inyección de comandos
El mismo servidor web integrado es vulnerable a una falla de inyección de comandos que permite a los atacantes ejecutar comandos shell en el contexto del servidor Web, lo cual es bastante alta ya que el servidor se utiliza para administrar el dispositivo a través de un web panel.NOMOTION dice que hay más de 220.000 dispositivos vulnerables a esta falla. Este defecto puede ser explotado incluso sin el uso de una de las puertas traseras codificados. Todas las necesidades atacante es una solicitud de red deforme al puerto del módem 49955. filtros básicos a nivel de ISP podrían parar la explotación de este error.
IPuerta trasera 3
Los atacantes pueden utilizar el "bdctest/bdctest" nombre de usuario y contraseña para autenticar en el dispositivo a través del puerto 61001. La explotación de esta falla requiere al atacante conocer el número de serie del aparato.Incluso si no es fácil de explotar, un atacante determinado puede encontrar una manera de escapar del número de serie en función de cada dispositivo y acceder al dispositivo. Los investigadores dijeron que esta cuenta revela información sobre los registros, credenciales WiFi del módem, y las direcciones MAC de los hosts internos.
Como traspasar un firewall
Una petición HTTP bien diseñado enviado a través del puerto 49152 permitirá que los atacantes eludir el cortafuegos interno del módem y abrir una conexión TCP proxy para el dispositivo.Sin pasar por el servidor de seguridad permite al atacante aprovechar las otras cuatro vulnerabilidades incluso si el usuario pensó que aseguró su enrutador al permitir que un servidor de seguridad en el dispositivo.
Un atacante sólo necesita la dirección IP pública de un módem para explotar este error, pero esto se puede obtener de servicios como Shodan, Censys, o ZoomEye.
"Cada dispositivo AT & T observado ha tenido este puerto (49152) abierto y ha dado respuesta a sondas", dijo NOMOTION.
Los cinco defectos no son dias cero ya que los investigadores no han encontrado ninguna evidencia que fueron explotadas en los ataques antes de liberar su investigación.
Para los propietarios de dichos dispositivos, NOMOTION ha publicado instrucciones básicas de auto-mitigación que los propietarios de dispositivos y proveedores de Internet pueden usar para bloquear el acceso a las puertas traseras y corregir algunos de los defectos.
Victor Gevers, presidente de la Fundación GDI, también ha ofrecido los recursos de su organización para ayudar a los usuarios y proveedores de Internet mitigar los problemas descritos.
Fecha actualización el 2017-8-31. Fecha publicación el 2017-8-31. Categoría: Puertas traseras. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer