Algunos modelos de routers domésticos proporcionados por Telefónica a sus clientes ADSL, son el caldo de cultivo para que arañas que escanean secuencialmente rangos de IP's en busca de dispositivos vulnerables, modifiquen los DNS utilizados por los usuarios con el objetivo de interceptar silenciosamente la navegación. Telefónica confirma que está trabajando en el tema.
La consultora de seguridad S21SEC hace referencia a "un rumor por las redes sociales y algunos foros Underground de una grave vulnerabilidad en los routers ADSL de Telefónica que estaba siendo explotada masivamente". Aunque nosotros no hemos podido encontrar evidencias contrastables de que esto ya esté ocurriendo en la red de Telefónica, si podemos asegurar que se reúnen los ingredientes suficientes para que un ataque de este tipo se esté produciendo. Y no es nada extraño, porque así ocurre en otros proveedores de internet que utilizan los mismos modelos de router que Telefónica.
El funcionamiento es el siguiente:
- En una primera fase se buscan routers que tengan el interfaz de administración web abierto hacia la WAN, de forma que sea posible acceder a él desde Internet. Esto se hace mediante bots que escanean secuencialmente todos los rangos de IP's asignados a un ISP en busca de dispositivos vulnerables.
- A continuación se comprueba si el router responde a un fallo de algunos routers con chipset Broadcom. La vulnerabilidad (por llamarlo de una forma suave, ya que se trata de un grave fallo de diseño del firmware) consiste en que al llamar a la URL (link roto), el HTML devuelto contiene en texto plano las credenciales de acceso root.
- El siguiente paso es llamar a la URL /dnscfg.cgi para sustituir la DNS configuradas por nuestra operadora por unos servidores bajo el control del atacante.
- A partir de ese momento, la peticiones DNS realizadas desde la red local pueden ser alteradas para dirigir la navegación del usuario hacían las webs que decida el atacante. No solo pueden introducir publicidad, por ejemplo cuando escribimos una URL errónea, sino que fácilmente pueden sustituir URLs legítimas, como la de un banco, por réplicas falsas diseñadas para robar las claves de acceso.
Como puede verse, la piedra angular del ataque está en el fallo garrafal de password.cgi, entregando directamente el usuario y clave en un fragmento de JavaScript. Por el momento la solución es deshabilitar el acceso a la interfaz de administración web desde la WAN.
Actualizado: Un responsable del foro oficial de Telefónica confirma que están buscando una solución:
Nuestros compañeros de homologación de dispositivos ya están con este tema, habiendo sido reportado a los fabricantes con objeto de subsanar dichas anomalías.
