Dos modelos de router Livebox de Orange estarían afectados por una vulnerabilidad grave que está siendo activamente explotada por una botnet y que permite acceder a la interfaz de administración del router sin credenciales.
A juzgar por las pruebas realizadas por usuarios de Orange a raíz de esta noticia y que puedes ver en los comentarios, aunque desde Tenable listan el Livebox Fibra como vulnerable, el firmware actual distribuido en España no parece responder al ataque.
La vulnerabilidad CVE-2021-20090 ha sido calificada como crítica ya que permite saltarse la autentificación para acceder a la interfaz de administración del router gracias a que determinadas rutas no se validan. El problema afecta a millones de routers de varios fabricantes que utilizan el firmware de Arcadyan, el cual arrastraría la vulnerabilidad desde hace 10 años.
El problema reside es que no se validan los credenciales del usuario al acceder a las subcarpetas /images
, /js
o /css
y que permite acceder transversalmente a otros directorios, de forma que accediendo a una URL como http://<ip>/images/..%2findex.htm
se puede obtener acceso al índice u otras ubicaciones. Un segundo problema está en un script cgi con que se pueden inyectar comandos.
Según Juniper Networks la vulnerabilidad está siendo activamente explotada desde una dirección IP ubicada en Wuhan, China, en lo que parece un intento de desplegar una variante de la botnet Mirai. El ataque accede a la URL /images/..%2fapply_abstract.cgi
pasando los comandos para activar telnet, descargar y ejecutar http://212.192.241.72/lolol.sh
, script creado por los autores del ataque.
Livebox Fibra supuestamente vulnerable
Entre el listado de marcas y modelos afectados publicado Tenable, empresa descubridora del problema, nos encontramos con dos modelos fabricados por Arcadyan, el ARV7519, que corresponde con el router Livebox instalado por Orange para dar servicio sobre líneas ADSL y el más reciente PRV3399, conocido como Livebox Fibra y que sigue actualmente en servicio.
El más reciente Livebox 6, que sería el modelo PRV33AX349B-B-LT de Arcadyan, no aparece en el listado.
Modelo | Versión de firmware afectada | |
---|---|---|
Livebox 2.1 | Arcadyan ARV7519 | 00.96.00.96.617ES |
Livebox Fibra | Arcadyan PRV3399 | 00.96.00.96.617ES |