📰 Artículos
Operadoras

Detectada una botnet explotando una vulnerabilidad que afecta a los router LiveBox Fibra de Orange

Joshua Llorach 9 agosto 2021 14:01 ✎

⋮

Dos modelos de router LiveBox de Orange estarían afectados por una vulnerabilidad grave que está siendo activamente explotada por una botnet y que permite acceder a la interfaz de administración del router sin credenciales.

A juzgar por las pruebas realizadas por usuarios de Orange a raíz de esta noticia y que puedes ver en los comentarios, aunque desde Tenable listan el LiveBox Fibra como vulnerable, el firmware actual distribuido en España no parece responder al ataque.

La vulnerabilidad CVE-2021-20090 ha sido calificada como crítica ya que permite saltarse la autentificación para acceder a la interfaz de administración del router gracias a que determinadas rutas no se validan. El problema afecta a millones de routers de varios fabricantes que utilizan el firmware de Arcadyan, el cual arrastraría la vulnerabilidad desde hace 10 años.

El problema reside es que no se validan los credenciales del usuario al acceder a las subcarpetas /images, /jso /css y que permite acceder transversalmente a otros directorios, de forma que accediendo a una URL como http://<ip>/images/..%2findex.htm se puede obtener acceso al índice u otras ubicaciones. Un segundo problema está en un script cgi con que se pueden inyectar comandos.

Según Juniper Networks la vulnerabilidad está siendo activamente explotada desde una dirección IP ubicada en Wuhan, China, en lo que parece un intento de desplegar una variante de la botnet Mirai. El ataque accede a la URL /images/..%2fapply_abstract.cgi pasando los comandos para activar telnet, descargar y ejecutar http://212.192.241.72/lolol.sh, script creado por los autores del ataque.

LiveBox Fibra supuestamente vulnerable

Livebox 2.1 y Livebox Fibra — Router LiveBox ADSL y de fibra utilizados por Orange

Entre el listado de marcas y modelos afectados publicado Tenable, empresa descubridora del problema, nos encontramos con dos modelos fabricados por Arcadyan, el ARV7519, que corresponde con el router LiveBox instalado por Orange para dar servicio sobre líneas ADSL y el más reciente PRV3399, conocido como LiveBox Fibra y que sigue actualmente en servicio.

El más reciente LiveBox 6, que sería el modelo PRV33AX349B-B-LT de Arcadyan, no aparece en el listado.

	Modelo	Versión de firmware afectada
LiveBox 2.1	Arcadyan ARV7519	`00.96.00.96.617ES`
LiveBox Fibra	Arcadyan PRV3399	`00.96.00.96.617ES`

💬 Comentarios

rbetancor 9 agosto 2021 14:16

⋮

Pues mi PRV3399 no está afectado, porque por más que lo intentes, te devuelve error de Not Found.

Y no veo que se haya actualizado "recientemente"

✖

el-brujo 9 agosto 2021 22:38

⋮

Y la URL http://192.168.11.1/images/…%2finfo.html ¿también devuelve un 404 ?

✖

rbetancor 10 agosto 2021 00:32

⋮

Yep

Grohl 12 agosto 2021 16:53

⋮

A mi esa URL me redirige a la página de login

EmuAGR 9 agosto 2021 23:15

⋮

~~¿Y cambiando el %2f por una barra "/" ?~~

Los que yo tengo son el PRV3397 (LiveBox+) y el fibra es un Sagemcom. Ojalá tuviera acceso a un PRV3399 para ver las diferencias.

✖

rbetancor 10 agosto 2021 00:33

⋮

Too many redirects

aeri 9 agosto 2021 14:16

⋮

Pues es interesante este ataque a nivel interno para hacerle un Jailbreak al router, sacar las credenciales de SIP y cambiar ciertos parámetros del router que no se podrían de otra manera. No sabía que se podía tener acceso Telnet a estos equipos ni que el BusyBox instalado fuese tan permisivo.

✖

rbetancor 9 agosto 2021 14:36

⋮

El 99% de los routers de las operadoras llevan un BusyBox … incluso "a las malas" vía el puerto JTAG se puede acceder al modo desarrollador.

Otra cosa es intentar buscar método "menos invasivos" para sacar la info o modificar la configuración.

✖

aeri 9 agosto 2021 16:38

⋮

El VG-8050 de Movistar tiene acceso Telnet pero con un BusyBox modificado con el cual solo se pueden ejecutar unos 15 comandos predeterminados, no se pueden ejecutar ficheros ni mucho menos hacer wget.

✖

rbetancor 9 agosto 2021 17:55

⋮

¿Tiene el comando echo activo? … pues ya se puede transferir cualquier cosa ejecutable.

✖

aeri 10 agosto 2021 00:40

⋮

Nada nada, solo los 15 comandos que ellos te dejan para funciones muy específicas. Aún así, aunque pudieras transferirlo no podrías ejecutarlo, por he dicho que me ha sorprendido un BB tan abierto.

✖

rbetancor 10 agosto 2021 07:05

⋮

vukits 9 agosto 2021 15:10

⋮

No sabía que se podía tener acceso Telnet

Es la misma mie*da de siempre.

Seguridad por oscuridad.

Luego viene un juanker y entra. Pero nosotros, que somos usuarios legítimos, no podemos

✖

aeri 9 agosto 2021 16:49

⋮

Tal cual, es increíble como se repite este patrón, se empeñan en hacer cajas oscuras que lejos de mejorar la seguridad entorpecen a usuarios un poco más avanzados para luego tener unos firmware desastrosos repletos de bugs y fallos de seguridad que no se pueden ni modificar minimamente y mucho menos sustituir. Ojalá Linux en GPL v3 para acabar con la Tivoización.

BocaDePez 9 agosto 2021 15:19

⋮

Ni los LiveBox Fibra y ni los nuevos con WIFI 6 estan afectados (probado con ambos), debe ser solo los antiguos de ADSL.

Papalukas77 9 agosto 2021 15:55

⋮

la mia pone PRV3399B por lo que esta afectada no¿?

✖

RingoStark 9 agosto 2021 17:04

⋮

No, ese es el LiveBox Fibra y no está afectado

Weikis 9 agosto 2021 18:02

⋮

Si fuese como en otros países que pones el router que te sale de las narices no pasaría esto.

BocaDePez 9 agosto 2021 18:41

⋮

Tengo el LiveBox Fibra y al acceder a la URL http://192.168.1.1/images/…%2findex.htm me aparece un "not found". ¿Se supone que no está infectado? El firmware del Router es el "AR_LBFIBRA_sp-00.03.05.221(Thu Nov 19 18:52:43 2020)" y el modelo el "PRV3399B_B_LT"

✖

el-brujo 9 agosto 2021 22:24 ✎

⋮

Si la petición http://192.168.1.1/images/…%2findex.htm devuelve un 404 (not found) es que tu router no está afectado por la vulnerabilidad, por lo tanto no puede ser "infectado". De todas maneras para ser vulnerable tendrías que tener habilitado el acceso remoto (vía WAN) lo cual supongo (espero) no está habilitado por defecto.

✖

rbetancor 10 agosto 2021 07:07

⋮

De todas maneras para ser vulnerable tendrías que tener habilitado el acceso remoto (vía WAN)

Eso sería para que te atacaran directamente … pero cualquier mensaje html de phising, de los habituales, podría tener el mismo efecto como vector de captura y zombificación del router.

✖

el-brujo 10 agosto 2021 12:09

⋮

Totalmente cierto, incluso se puede "incrustar" el payload y que se ejecute el vector de ataque en una imagen:

github.com/dlegs/php-jpeg-injector

BocaDePez 9 agosto 2021 22:29 ✎

⋮

Wuhan, China, en lo que parece un intento de desplegar una variante

Que casualidad

✖

el-brujo 10 agosto 2021 12:15

⋮

jajaja pues la verdad es que si, sería ya el segundo virus que nos meten xD

La IP: 27.22.80.19 pertenece a Hubei, región de Wuhan

AS4134

CHINANET Hubei province network

mesi 10 agosto 2021 00:23

⋮

Yo tengo el PRV3397, he hecho la prueba y en todas me ha dado 400 Bad Request No request found.

El mío tiene la version de firmware AR_LBPLUS_sp-01.03.05.221(Thu Nov 19 18:53:59 2020)

✖

EmuAGR 10 agosto 2021 00:34

⋮

Coincido, misma versión y me da 404. yo por si acaso he sincronizado la configuración SIP por si sale un exploit sencillo.

Ikaro1968 10 agosto 2021 07:15

⋮

El LiveBox Fibra no tiene ese firmware y tampoco está afectado.

BocaDePez 10 agosto 2021 10:41

⋮

No estaría mal una corrección del titular, foto y contenido por parte de @Josh, viendo los comentarios parece que el LiveBox Fibra no está afectado y la versión de firmware publicada ni siquiera pertenece a este router. No se Rick, cuánto mas tiempo se mantiene el error de la noticia mas huele a clickbait

✖

el-brujo 10 agosto 2021 15:59

⋮

No es mala idea, pero que @Josh ya ha añadido:

Pero no creo que sea clickbait:

Si los investigadores es-la.tenable.com/security/research/tra-2021-13 dijeron que el modelo de Orange LiveBox Fibra (PRV3399) con firmware 00.96.00.96.617ES era vulnerable es porque lo comprobaron en algún momento, pero como la vulnerabilidad es de hace meses, pues seguramente ya lo solucionaron. Bravo por Orange. Las varias vulnerabilidades son de hace meses y lo que ahora han aparecido algunos PoC's y ataques activos, de ahí la noticia.

Yo también lo traduje como pude, porque "exploited" no es sencillo de traducir o tiene mala traducción "explotados"

blog.elhacker.net/2021/08/alertan-campan…rcadyan.html

Y parece que los routers Arcadyan de Telmex tampoco ya son vulnerables:

twitter.com/adiaz_32/status/1424584141673226242

¿Y los routers de Vodafone ADSL son vulnerables? También aparecen en el listado

Vodafone EasyBox 904 4.16

Vodafone EasyBox 903 30.05.714

Vodafone EasyBox 802 20.02.226

Fuentes:

bleepingcomputer.com/news/security/activ…s-of-routers

securityaffairs.co/wordpress/120908/hack…attacks.html

blogs.juniper.net/en-us/security/freshly…-in-the-wild

unit42.paloaltonetworks.com/mirai-varian…nerabilities

medium.com/tenable-techblog/bypassing-au…ea1dd30980c2

✖

Unlobomas 12 agosto 2021 12:32

⋮

Me parece que la versión de firmware 00.96.00.96.617ES no ha pasado nunca por el modelo de Orange LiveBox Fibra (PRV3399). La información publicada no es buena del todo