Miles de propietarios de routers RT de Asus descubren el contenido de su unidad USB abierto a internet

Josh 19 febrero 2014 10:09 ◉

⋮

Muchos usuarios de un router Asus de la serie RT con un disco duro conectado se han encontrado un archivo denominado "warning_you_are_vulnerable.txt" que explica que Asus lleva meses ignorando el reporte de dos vulnerabilidades que permiten acceder completamente al contenido del cualquier dispositivo de almacenamiento conectado al router.

Si el usuario tiene activado el FTP, este permite acceder mediante una cuenta anónima a través de la IP pública (un ejemplo real). En el caso de que el usuario utilice el servicio AiCould de Asus, el problema persiste ya que los nombres de usuarios y claves son accesibles en texto plano sin autentificación.

Los responsables de este "hackeo" ético han colgado un listado con 13.000 direcciones IP de usuarios de Asus con el router abierto de par en par.

arstechnica.com/security/2014/02/dear-as…loited-flaw/

decedion 19 febrero 2014 11:45

⋮

Gracias por el aviso, no me había enterado y precisamente yo era una potencial victima de este grave fallo de seguridad. He actualizado a la última versión del firmware que teóricamente soluciona este problema.

Me parece penoso que una empresa como ASUS saqué un producto así sin hacer antes una auditoria de seguridad. X(

✖

BocaDePez 19 febrero 2014 13:28

⋮

Asus es Asus, se preocupan por el hadware. Si dijeras Cisco... pues mira.

✖

BocaDePez 19 febrero 2014 20:39

⋮

Pues si ves a los usuarios de routers domésticos de Cisco o de Linksys verás que el soporte es muuucho peor que el de Asus.

Los modelos domésticos de Cisco, a pesar de valer mas de 200€ presentan cuelgues, se reinician y de las cosas que anuncian la mitad no las hacen correctamente...

Muchos Linksys (de cuando era de Cisco) llevan con vulnerabilidades mas de 3 años, y en cuanto dejan de venderse se quedan sin actualizaciones (incluso antes como le pasa a mi WAG320N que la última actualización es del 2010).

Saludos

✖

BocaDePez 19 febrero 2014 21:14

⋮

Cuando uno piensa en Cisco, piensa en DataCenters, no en la gama doméstica (la cual le importa un pepino a Cisco).

✖

heffeque 19 febrero 2014 22:19

⋮

BocaDePez 20 febrero 2014 06:46

⋮

✖

BocaDePez 20 febrero 2014 15:07

⋮

✖

BocaDePez 20 febrero 2014 16:42

⋮

BocaDePez 20 febrero 2014 00:29

⋮

Claro claro... cisco sisi lo que digas :P te pudiera contar mil cuentos... tanto de estos como el apple airport...

Mikker 20 febrero 2014 13:34

⋮

Yo a pesar de tener el Asus AC66U nunca soy partidario de compartir con las aplicaciones que viene ningún archivo, quien no me dice que ellos mismos entrar al la red y verlo todo? yo mis archivos a pesar de no contener nada de que esconderme, prefiero que estén en el disco duro del pc y si lo apago, pues apagado queda y nadie ve, aun asi no soy iluso y a pesar de tener un buen antivirus y tomar ciertas precauciones se que estoy expuesto a cualquier agencia como la NSA o algun hacker, es como la vida real, cualquiera que sale a la calle puede pillar un virus como la gripe, simplemente puedes tomar medidas para no cojerla...

Da igual cisco que cisca... una vez conectas a la red estas expuesto.

✖

decedion 20 febrero 2014 14:03

⋮

Ya, pero así es Internet. De todas formas, no sé qué interés tendría para ASUS ver nuestros ficheros compartidos.

En mi caso es por comodidad, tengo una gran cantidad de comics que no me cogen en DropBox. Así que los subo al disco duro del router y los comparto con mi tablet a través de la aplicación de ASUS iCloud. ;)

✖

BocaDePez 20 febrero 2014 15:08

⋮

Pues lo mismo que la NSA para espiar millones de conversaciones... ningun interes...

Filiprino 20 febrero 2014 19:50

⋮

Igual que la NSA se protege de ataques tú también puedes hacerlo.

decedion 19 febrero 2014 12:08

⋮

Veo que usas un firmware customizado (Merlin), ¿este tiene la misma vulnerabilidad?

✖

BocaDePez 19 febrero 2014 12:20

⋮

No.

Con OpenWrt esto no pasaría B-)

BocaDePez 19 febrero 2014 12:24

⋮

Usemos mejor vocabulario español... existiendo "personalizado", al otro palabro que le den :P

✖

BocaDePez 19 febrero 2014 12:29

-1

⋮

Eso, al otro palabro que le fucken!! xD

✖

BocaDePez 19 febrero 2014 22:38

-1

⋮

Que le fucken un fish in plaza mayor

BocaDePez 19 febrero 2014 12:27

⋮

A la hora de comprar un router doméstico no escojo uno que no tenga soporte DD-WRT u Open-WRT. Paso olímpicamente de los firmwares propietarios de los fabricantes.

✖

BocaDePez 19 febrero 2014 15:55

⋮

el rendimiento en transferencia wan a lan cae muchisimo con dd-wrt y un rt que tenemos en el trabajo, por lo que no es oro todo lo que reluce con dd-wrt y demas

✖

BocaDePez 19 febrero 2014 16:47

⋮

Pues ya sabes, a enviar los parches correspondientes (en el caso de OpenWrt y Gargoyle) :D

✖

BocaDePez 19 febrero 2014 17:09

⋮

Yo tengo un Netgear con soporte oficial para firmwares alternativos y pasa lo msmo, el rendimiento con cualquiera de ellos cae en picado, al 50% en algunos casos. En myopenrouter.com pusieron versiones parcheadas que van mejor pero ni de lejos llegan al rendimiento del oficial.

Por eso yo siempre uso los oficiales excepto cuando necesito una función que no lleva y que si tengo en OpenWRT o similares.

✖

BocaDePez 19 febrero 2014 21:09

⋮

✖

BocaDePez 19 febrero 2014 21:49

⋮

decedion 20 febrero 2014 14:07

⋮

Bueno en el caso del Asuswrt-Merlin es el firmware oficial con añadidos: posibilidad de ejecutar scripts al arranque, tareas programadas, encender/apagar los LEDs siempre o durante ciertas horas, el interfaz web muestra más información, etc... Así que el rendimiento tendría que ser el mismo.

LoKuAZ 19 febrero 2014 16:02

⋮

La verdad que no entiendo para que tienen el boton del actulización del Firmware si me decia que siempre era la última.

Asi que nada subido al Firmware version 3.0.0.4.374.4422 y teniendo la 3.0.0.4.374.979 del 9-10-2013.

✖

decedion 19 febrero 2014 16:20

⋮

A mi me pasaba lo mismo. Ese botón funciona cuando quiere! :-/

BocaDePez 19 febrero 2014 20:32

⋮

El caso es que he ido de salto en salto y probé como unas 20 IPs del listado y no rula ni una, sólo la del ejemplo. :D

✖

NetSpot 19 febrero 2014 20:51

⋮

Pues, chico, 3 de 4. Y porque no quiero seguir.

Una de un polaco o similar (tampoco me he puesto a hacer whois a la IP, pero por el idoma de carpetas y tal, presupongo que lo sería) con fotos y diplomas compartidos. El chaval o chavala se ve que ha ido recientemente a un concierto.

Otro con fotos de el armazón de una obra casera que estaba montando.

Y el otro... he dicho basta porque no tengo por qué cotillear lo de otros.

Una cosa es probar el bug y otra saltarme su privacidad porque sí, cuando yo soy el primero que defiende la mía.

✖

BocaDePez 20 febrero 2014 13:14

⋮

Tienes razón, por alguna razón se demoraba bastante la carga o no estaba poniendo el ftp://.

He visto fotitos de bodas, cumpleaños, morritos, etc., una pena que la gente no se entere de que están exponiendo sus datos a todo quisqui.

Ettamos vendíos.

vukits 20 febrero 2014 01:21

⋮

Asus, .. Linksys ...

Menos mal que nos quedan los firmware abiertos..

✖

BocaDePez 20 febrero 2014 15:10

⋮

La unica diferencia entre uno abierto y cerrado es que el abierto puede ser reparado por cualquier (miedo me da eso de "cualquiera"), y el otro solo por el que posea el fuente...

pero errores, mala praxis, etc. pueden tener ambos, claro que en el "abierto" puede ser mas complicado camuflar, pero se puede.

✖

vukits 20 febrero 2014 23:22

⋮

la seguridad por oscuridad no es seguridad ...

Eso ha quedado demostrado mil y unas veces ..

BocaDePez 20 febrero 2014 08:52

⋮

Upss sí.... pastebin.com/ASfYTWgw

Poninedo ftp:// y la IP se accede al usb si lo tiene pinchado, que fuerte!!!!