BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Detectada una botnet explotando una vulnerabilidad que afecta a los router LiveBox Fibra de Orange

Josh
Vulnerabilidad en el Livebox Fibra

Dos modelos de router LiveBox de Orange estarían afectados por una vulnerabilidad grave que está siendo activamente explotada por una botnet y que permite acceder a la interfaz de administración del router sin credenciales.

A juzgar por las pruebas realizadas por usuarios de Orange a raíz de esta noticia y que puedes ver en los comentarios, aunque desde Tenable listan el LiveBox Fibra como vulnerable, el firmware actual distribuido en España no parece responder al ataque.

La vulnerabilidad CVE-2021-20090 ha sido calificada como crítica ya que permite saltarse la autentificación para acceder a la interfaz de administración del router gracias a que determinadas rutas no se validan. El problema afecta a millones de routers de varios fabricantes que utilizan el firmware de Arcadyan, el cual arrastraría la vulnerabilidad desde hace 10 años.

El problema reside es que no se validan los credenciales del usuario al acceder a las subcarpetas /images, /jso /css y que permite acceder transversalmente a otros directorios, de forma que accediendo a una URL como http://<ip>/images/..%2findex.htm se puede obtener acceso al índice u otras ubicaciones. Un segundo problema está en un script cgi con que se pueden inyectar comandos.

Según Juniper Networks la vulnerabilidad está siendo activamente explotada desde una dirección IP ubicada en Wuhan, China, en lo que parece un intento de desplegar una variante de la botnet Mirai. El ataque accede a la URL /images/..%2fapply_abstract.cgi pasando los comandos para activar telnet, descargar y ejecutar http://212.192.241.72/lolol.sh, script creado por los autores del ataque.

LiveBox Fibra supuestamente vulnerable

Livebox 2.1 y Livebox Fibra
Router LiveBox ADSL y de fibra utilizados por Orange

Entre el listado de marcas y modelos afectados publicado Tenable, empresa descubridora del problema, nos encontramos con dos modelos fabricados por Arcadyan, el ARV7519, que corresponde con el router LiveBox instalado por Orange para dar servicio sobre líneas ADSL y el más reciente PRV3399, conocido como LiveBox Fibra y que sigue actualmente en servicio.

El más reciente LiveBox 6, que sería el modelo PRV33AX349B-B-LT de Arcadyan, no aparece en el listado.


ModeloVersión de firmware afectada
LiveBox 2.1Arcadyan ARV751900.96.00.96.617ES
LiveBox FibraArcadyan PRV339900.96.00.96.617ES
rbetancor
1

Pues mi PRV3399 no está afectado, porque por más que lo intentes, te devuelve error de Not Found.

image.webp

Y no veo que se haya actualizado "recientemente"

image.webp
🗨️ 5
el-brujo

Y la URL http://192.168.11.1/images/…%2finfo.html ¿también devuelve un 404 ?

🗨️ 2
rbetancor
1

Yep

image.webp
Grohl

A mi esa URL me redirige a la página de login

EmuAGR

¿Y cambiando el %2f por una barra "/" ?

Los que yo tengo son el PRV3397 (LiveBox+) y el fibra es un Sagemcom. Ojalá tuviera acceso a un PRV3399 para ver las diferencias.

🗨️ 1
rbetancor

Too many redirects

image.webp
Aeri
1

Pues es interesante este ataque a nivel interno para hacerle un Jailbreak al router, sacar las credenciales de SIP y cambiar ciertos parámetros del router que no se podrían de otra manera. No sabía que se podía tener acceso Telnet a estos equipos ni que el BusyBox instalado fuese tan permisivo.

🗨️ 7
rbetancor

El 99% de los routers de las operadoras llevan un BusyBox … incluso "a las malas" vía el puerto JTAG se puede acceder al modo desarrollador.

Otra cosa es intentar buscar método "menos invasivos" para sacar la info o modificar la configuración.

🗨️ 4
Aeri

El VG-8050 de Movistar tiene acceso Telnet pero con un BusyBox modificado con el cual solo se pueden ejecutar unos 15 comandos predeterminados, no se pueden ejecutar ficheros ni mucho menos hacer wget.

🗨️ 3
rbetancor

¿Tiene el comando echo activo? … pues ya se puede transferir cualquier cosa ejecutable.

🗨️ 2
Aeri

Nada nada, solo los 15 comandos que ellos te dejan para funciones muy específicas. Aún así, aunque pudieras transferirlo no podrías ejecutarlo, por he dicho que me ha sorprendido un BB tan abierto.

🗨️ 1
rbetancor
vukits
2

No sabía que se podía tener acceso Telnet

Es la misma mie*da de siempre.

Seguridad por oscuridad.

Luego viene un juanker y entra. Pero nosotros, que somos usuarios legítimos, no podemos

🗨️ 1
Aeri
2

Tal cual, es increíble como se repite este patrón, se empeñan en hacer cajas oscuras que lejos de mejorar la seguridad entorpecen a usuarios un poco más avanzados para luego tener unos firmware desastrosos repletos de bugs y fallos de seguridad que no se pueden ni modificar minimamente y mucho menos sustituir. Ojalá Linux en GPL v3 para acabar con la Tivoización.

BocaDePez
BocaDePez
1

Ni los LiveBox Fibra y ni los nuevos con WIFI 6 estan afectados (probado con ambos), debe ser solo los antiguos de ADSL.

Papalukas77

la mia pone PRV3399B por lo que esta afectada no¿?

🗨️ 1
RingoStark

No, ese es el LiveBox Fibra y no está afectado

Weikis336
1

Si fuese como en otros países que pones el router que te sale de las narices no pasaría esto.

BocaDePez
BocaDePez

Tengo el LiveBox Fibra y al acceder a la URL http://192.168.1.1/images/…%2findex.htm me aparece un "not found". ¿Se supone que no está infectado? El firmware del Router es el "AR_LBFIBRA_sp-00.03.05.221(Thu Nov 19 18:52:43 2020)" y el modelo el "PRV3399B_B_LT"

🗨️ 3
el-brujo
1

Si la petición http://192.168.1.1/images/…%2findex.htm devuelve un 404 (not found) es que tu router no está afectado por la vulnerabilidad, por lo tanto no puede ser "infectado". De todas maneras para ser vulnerable tendrías que tener habilitado el acceso remoto (vía WAN) lo cual supongo (espero) no está habilitado por defecto.

🗨️ 2
rbetancor
1

De todas maneras para ser vulnerable tendrías que tener habilitado el acceso remoto (vía WAN)

Eso sería para que te atacaran directamente … pero cualquier mensaje html de phising, de los habituales, podría tener el mismo efecto como vector de captura y zombificación del router.

🗨️ 1
BocaDePez
BocaDePez
1

Wuhan, China, en lo que parece un intento de desplegar una variante

Que casualidad

🗨️ 1
el-brujo

jajaja pues la verdad es que si, sería ya el segundo virus que nos meten xD

La IP: 27.22.80.19 pertenece a Hubei, región de Wuhan

AS4134

CHINANET Hubei province network

mesi
1

Yo tengo el PRV3397, he hecho la prueba y en todas me ha dado 400 Bad Request No request found.

El mío tiene la version de firmware AR_LBPLUS_sp-01.03.05.221(Thu Nov 19 18:53:59 2020)

🗨️ 1
EmuAGR
2

Coincido, misma versión y me da 404. yo por si acaso he sincronizado la configuración SIP por si sale un exploit sencillo.

Ikaro1968

El LiveBox Fibra no tiene ese firmware y tampoco está afectado.

BocaDePez
BocaDePez
2

No estaría mal una corrección del titular, foto y contenido por parte de @Josh, viendo los comentarios parece que el LiveBox Fibra no está afectado y la versión de firmware publicada ni siquiera pertenece a este router. No se Rick, cuánto mas tiempo se mantiene el error de la noticia mas huele a clickbait

🗨️ 2
el-brujo
2

No es mala idea, pero que @Josh ya ha añadido:

A juzgar por las pruebas realizadas por usuarios de Orange a raíz de esta noticia y que puedes ver en los comentarios, aunque desde Tenable listan el LiveBox Fibra como vulnerable, el firmware actual distribuido en España no parece responder al ataque.

Pero no creo que sea clickbait:

Si los investigadores es-la.tenable.com/security/research/tra-2021-13 dijeron que el modelo de Orange LiveBox Fibra (PRV3399) con firmware 00.96.00.96.617ES era vulnerable es porque lo comprobaron en algún momento, pero como la vulnerabilidad es de hace meses, pues seguramente ya lo solucionaron. Bravo por Orange. Las varias vulnerabilidades son de hace meses y lo que ahora han aparecido algunos PoC's y ataques activos, de ahí la noticia.

Yo también lo traduje como pude, porque "exploited" no es sencillo de traducir o tiene mala traducción "explotados"

blog.elhacker.net/2021/08/alertan-campan…rcadyan.html

Y parece que los routers Arcadyan de Telmex tampoco ya son vulnerables:

twitter.com/adiaz_32/status/1424584141673226242

¿Y los routers de Vodafone ADSL son vulnerables? También aparecen en el listado

Vodafone EasyBox 904 4.16

Vodafone EasyBox 903 30.05.714

Vodafone EasyBox 802 20.02.226

Fuentes:

bleepingcomputer.com/news/security/activ…s-of-routers

securityaffairs.co/wordpress/120908/hack…attacks.html

blogs.juniper.net/en-us/security/freshly…-in-the-wild

unit42.paloaltonetworks.com/mirai-varian…nerabilities

medium.com/tenable-techblog/bypassing-au…ea1dd30980c2

🗨️ 1
Unlobomas

Me parece que la versión de firmware 00.96.00.96.617ES no ha pasado nunca por el modelo de Orange LiveBox Fibra (PRV3399). La información publicada no es buena del todo