📰 Artículos
Operadoras

El router de fibra HGU de Movistar afectado por una vulnerabilidad XSS

Joshua Llorach 27 julio 2021 17:19 ✎

⋮

Un modelo del router de fibra que Telefónica instala a clientes residenciales a través de sus marcas Movistar y O2 está afectado por una vulnerabilidad XSS que permite ejecutar código javascript en el equipo del cliente con solo visitar una URL. 5 meses después de hacerse pública, la operadora aún no ha solucionado el problema.

La vulnerabilidad con el identificador CVE-2021-27403 fue registrada el 19 de febrero de 2021. Según explica el usuario bokanrb que publica los detalles del problema en GitHub, se trata de una vulnerabilidad Cross-Site-Scripting que afecta al router HGU fabricado por Askey que se instala con la fibra óptica.

Aunque todos los routers HGU de Movistar tienen el mismo aspecto externo, existen cuatro modelos de dos diferentes fabricantes. La vulnerabilidad afecta al modelo más reciente fabricado por Askey, el RTF8115VW que Telefónica está instalando desde hace unos meses.

En qué consiste el problema

El problema aparece al visitar una URL de la interfaz de administración web del router. El software del equipo no valida los datos introducidos y los envía de vuelta en el HTML, de forma que el navegador del usuario ejecuta el código javascript que se le indique.

La forma más sencilla de comprobar si estamos afectados es visitando desde un ordenador conectado al router la siguiente URL, donde 192.168.1.1 es la IP por defecto del router y alert('xss') el código JS a ejecutar. Los campos loginUsername y loginPassword pueden tener cualquier valor puesto que no se validan.

http://192.168.1.1/cgi-bin/te_acceso_router.cgi?curWebPage=/settings-internet.asp";alert('xss')//&loginUsername=admin&loginPassword=admin

Utilizando esta técnica un atacante puede ejecutar código javascript malicioso en nuestro equipo al conseguir que visitemos la URL con el fallo, lo que abre la puerta a otros ataques más elaborados, convirtiéndose en un recurso más para tratar de penetrar en redes de usuarios y empresas.

5 meses sin solventarse

La vulnerabilidad lleva 5 meses siendo pública, sin embargo la operadora hasta la fecha no le ha dado solución, según hemos podido comprobar al reproducir el problema en un equipo similar al descrito debidamente actualizado a la última versión proporcionada por los servidores de la operadora, con el firmware ES_g12.6_RTF_TEF001_V7.8_V012.

Alert box XSS — Cuadro de diálogo `alert()` ejecutado como muestra

He preguntado directamente a Telefónica a través de su Equipo de Respuesta a Incidentes de Seguridad (CSIRT) Global si tienen conocimiento del problema y qué posibles soluciones hay. Solo unos minutos después han respondido que están revisando internamente el caso y facilitarán nueva información al respecto.

💬 Comentarios

vukits 27 julio 2021 17:37

⋮

Solo unos minutos después han respondido que están revisando internamente el caso y facilitarán nueva información al respecto.

básicamente, se acaban de enterar xD

alguién va a tener un Agosto sin playa :P

pegaca0 27 julio 2021 18:39

⋮

Bueno, ya habrán envíado un mail al currito de turno de Askey y ahora a esperar 3 o 4 meses a que actualicen el firmware.

BocaDePez 27 julio 2021 18:50

⋮

El hax0r que pone el gorro de lana en pleno mes de agosto a 36 grados en madrid discrepa

BocaDePez 27 julio 2021 20:58

⋮

@Josh me encanta daros la enhorabuena por los buenos post, pero si aceptas una crítica constructiva de alguien que se dedica a esto, apoyar la divulgación de un full Disclosure no lo veo muy ético, creo que con haber hecho la noticia sin detalles y avisando a Telefónica hubiera sido lo más correcto.

Por otro lado, me gustaría saber la historia de esta vulnerabilidad, esta claro que se debió avisar al fabricante, y este ni lo ha solucionado ni ha avisado a sus clientes (en este caso Telefónica).

Por parte de Telefónica, me parece súper rápida su respuesta y me alegro de la colaboración por parte de banda ancha con este tipo de cosas, en esta parte @Josh os doy la enhorabuena!

A nivel técnico, la vulnerabilidad es un XSS reflejado, no me parece tan critico como un RCE (ejecución remota de Código), pero al no ser autenticado puede ser un poquito más útil…

Pero vamos lamentable Askey, sin avisar de este vulnerabilidad a ellos se les ha avisado (Habría que saber si el tío que la ha hecho pública lo llegó a hacer…)

Un saludo

✖

Josh 27 julio 2021 21:56

⋮

La verdad que no estoy puesto en el procedimiento que se sigue en estos casos. SI me pasas algún enlace lo leeré con gusto.

Comprobando que no es un 0 day, que lleva 5 meses siendo pública y el fabricante probablemente está al tanto (y Telefónica debería, tiene todo un equipo dedicado a ello), he preguntado por deferencia tiempo antes de publicar y considerando que no es excesivamente grave he decidido sacar a portada lo que ya era público en el foro.

aeri 27 julio 2021 23:51

⋮

En este caso prefiero mucho más que se entre en el detalle de como funciona el exploit que una mera noticia generalista y sin fundamento que pase desapercibida. Creo que es lo que diferencia a este portal y por lo que muchos estamos aquí, por calidad técnica y la colaboración entre los usuarios.

Puede ser una cuestión personal pero para mi si es ético informar y dar todos los detalles que se conozcan de este tipo de noticias puesto que enriquezerá más el conocimiento colectivo y podremos ser más eficaces también a la hora de luchar contra este tipo de amenzas.

rbetancor 28 julio 2021 08:06

⋮

Si aceptas una crítica de alguien que ya no se dedica a eso, deberías haber comprobado la BD de vulnerabilidades antes de echarle a @Josh a los pies de los caballos.

CVE-2021-27403 asignada el 19-02-2021 y que si buscas por los foros especializados, el FD se hizo el 18/02/2021, tras habérselo notificado a Askey en Octubre de 2020 y que estos no lo hayan solucionado. Ósea, se han seguidos los plazos habituales que dicta la ética hacker en estos casos.

Lo gracioso, es que han actuado antes las casas de antivirus, añadiendo a sus productos de seguridad un detector de intento de explotación del CVE, que la propia Askey, que casi un año después, sigue sin ni resollar.

✖

el-brujo 28 julio 2021 13:36

⋮

Y hay otra vulnerabilidad en el mismo router:

CVE-2021-27404

github.com/bokanrb/CVE-2021-27404

BocaDePez 27 julio 2021 21:43

⋮

Bueno, yo lo acabo de mirar y mi router es un MitraStar, así que me imagino que este problema no me afecta. Menos mal!

BocaDePez 28 julio 2021 13:46

⋮

meh, seguro que mi windows tiene muchos mas fallos, uno mas no se va a notar

BocaDePez 28 julio 2021 16:41

⋮

RTF8115VW con version ES_g11.8_RTF_TEF001_V6.28_V008_CA

No lo ejecuta:

Access Error: 404 – Not Found

✖

skgsergio 29 julio 2021 16:09

⋮

A mi con esa versión si me ejecuta, salta el alert del xss, pero al cerrarlo despues te lleva a un error 404

BocaDePez 28 julio 2021 20:29

⋮

Seguramente en Firefox, Firefox cierra el alert Chrome no, Firefox bloquea el alert pero lo ejecuta lo acabo de comprobar, con ese mismo Firmware.

Momojingo50 30 julio 2021 20:47

⋮

Y yo me pregunto: si alguien ha llegado a introducir algún tipo de malware en el HGU aprovechando esta vulnerabilidad, al actualizar el HGU cuando salga la actualización pertinente ¿se te "limpia" el HGU de la posible mierda que te haya podido introducir el atacante?

Igual la pregunta es una gilipollez, perdonad mi ignorancia!

BocaDePez 31 julio 2021 16:26

⋮

Soy el pez que escribió en el foro sobre esto, solo buscaba la manera de cambiar la IP, y busqué XSS y modelo de router.

A parte soy full stack, mi trabajo no es buscar fallos, sino que estos no se repeoduzcan, dicho esto, hay más fallos, no solo los dos publucadis en el CVE, Movistar, espavila y empieza a dar routers OpenWrt.