BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Miles de propietarios de routers RT de Asus descubren el contenido de su unidad USB abierto a internet

Josh
3

Muchos usuarios de un router Asus de la serie RT con un disco duro conectado se han encontrado un archivo denominado "warning_you_are_vulnerable.txt" que explica que Asus lleva meses ignorando el reporte de dos vulnerabilidades que permiten acceder completamente al contenido del cualquier dispositivo de almacenamiento conectado al router.

Si el usuario tiene activado el FTP, este permite acceder mediante una cuenta anónima a través de la IP pública (un ejemplo real). En el caso de que el usuario utilice el servicio AiCould de Asus, el problema persiste ya que los nombres de usuarios y claves son accesibles en texto plano sin autentificación.

Los responsables de este "hackeo" ético han colgado un listado con 13.000 direcciones IP de usuarios de Asus con el router abierto de par en par.

arstechnica.com/security/2014/02/dear-as…loited-flaw/

decedion

Gracias por el aviso, no me había enterado y precisamente yo era una potencial victima de este grave fallo de seguridad. He actualizado a la última versión del firmware que teóricamente soluciona este problema.

Me parece penoso que una empresa como ASUS saqué un producto así sin hacer antes una auditoria de seguridad. X(

🗨️ 12
BocaDePez
BocaDePez

Asus es Asus, se preocupan por el hadware. Si dijeras Cisco... pues mira.

🗨️ 7
BocaDePez
BocaDePez

Pues si ves a los usuarios de routers domésticos de Cisco o de Linksys verás que el soporte es muuucho peor que el de Asus.

Los modelos domésticos de Cisco, a pesar de valer mas de 200€ presentan cuelgues, se reinician y de las cosas que anuncian la mitad no las hacen correctamente...

Muchos Linksys (de cuando era de Cisco) llevan con vulnerabilidades mas de 3 años, y en cuanto dejan de venderse se quedan sin actualizaciones (incluso antes como le pasa a mi WAG320N que la última actualización es del 2010).

Saludos

🗨️ 5
BocaDePez
BocaDePez

Cuando uno piensa en Cisco, piensa en DataCenters, no en la gama doméstica (la cual le importa un pepino a Cisco).

🗨️ 4
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Claro claro... cisco sisi lo que digas :P te pudiera contar mil cuentos... tanto de estos como el apple airport...

Mikker

Yo a pesar de tener el Asus AC66U nunca soy partidario de compartir con las aplicaciones que viene ningún archivo, quien no me dice que ellos mismos entrar al la red y verlo todo? yo mis archivos a pesar de no contener nada de que esconderme, prefiero que estén en el disco duro del pc y si lo apago, pues apagado queda y nadie ve, aun asi no soy iluso y a pesar de tener un buen antivirus y tomar ciertas precauciones se que estoy expuesto a cualquier agencia como la NSA o algun hacker, es como la vida real, cualquiera que sale a la calle puede pillar un virus como la gripe, simplemente puedes tomar medidas para no cojerla...

Da igual cisco que cisca... una vez conectas a la red estas expuesto.

🗨️ 3
decedion

Ya, pero así es Internet. De todas formas, no sé qué interés tendría para ASUS ver nuestros ficheros compartidos.

En mi caso es por comodidad, tengo una gran cantidad de comics que no me cogen en DropBox. Así que los subo al disco duro del router y los comparto con mi tablet a través de la aplicación de ASUS iCloud. ;)

🗨️ 1
BocaDePez
BocaDePez

Pues lo mismo que la NSA para espiar millones de conversaciones... ningun interes...

Filiprino

Igual que la NSA se protege de ataques tú también puedes hacerlo.

decedion

Veo que usas un firmware customizado (Merlin), ¿este tiene la misma vulnerabilidad?

🗨️ 4
BocaDePez
BocaDePez

No.

Con OpenWrt esto no pasaría B-)

BocaDePez
BocaDePez
3

Usemos mejor vocabulario español... existiendo "personalizado", al otro palabro que le den :P

🗨️ 2
BocaDePez
BocaDePez
-1

Eso, al otro palabro que le fucken!! xD

🗨️ 1
BocaDePez
BocaDePez
-1

Que le fucken un fish in plaza mayor

BocaDePez
BocaDePez
0

A la hora de comprar un router doméstico no escojo uno que no tenga soporte DD-WRT u Open-WRT. Paso olímpicamente de los firmwares propietarios de los fabricantes.

🗨️ 6
BocaDePez
BocaDePez

el rendimiento en transferencia wan a lan cae muchisimo con dd-wrt y un rt que tenemos en el trabajo, por lo que no es oro todo lo que reluce con dd-wrt y demas

🗨️ 5
BocaDePez
BocaDePez

Pues ya sabes, a enviar los parches correspondientes (en el caso de OpenWrt y Gargoyle) :D

🗨️ 3
BocaDePez
BocaDePez

Yo tengo un Netgear con soporte oficial para firmwares alternativos y pasa lo msmo, el rendimiento con cualquiera de ellos cae en picado, al 50% en algunos casos. En myopenrouter.com pusieron versiones parcheadas que van mejor pero ni de lejos llegan al rendimiento del oficial.

Por eso yo siempre uso los oficiales excepto cuando necesito una función que no lleva y que si tengo en OpenWRT o similares.

🗨️ 2
BocaDePez
BocaDePez
0
🗨️ 1
BocaDePez
BocaDePez
1
decedion

Bueno en el caso del Asuswrt-Merlin es el firmware oficial con añadidos: posibilidad de ejecutar scripts al arranque, tareas programadas, encender/apagar los LEDs siempre o durante ciertas horas, el interfaz web muestra más información, etc... Así que el rendimiento tendría que ser el mismo.

LoKuAZ

La verdad que no entiendo para que tienen el boton del actulización del Firmware si me decia que siempre era la última.

Asi que nada subido al Firmware version 3.0.0.4.374.4422 y teniendo la 3.0.0.4.374.979 del 9-10-2013.

🗨️ 1
decedion

A mi me pasaba lo mismo. Ese botón funciona cuando quiere! :-/

BocaDePez
BocaDePez

El caso es que he ido de salto en salto y probé como unas 20 IPs del listado y no rula ni una, sólo la del ejemplo. :D

🗨️ 2
NetSpot

Pues, chico, 3 de 4. Y porque no quiero seguir.

Una de un polaco o similar (tampoco me he puesto a hacer whois a la IP, pero por el idoma de carpetas y tal, presupongo que lo sería) con fotos y diplomas compartidos. El chaval o chavala se ve que ha ido recientemente a un concierto.

Otro con fotos de el armazón de una obra casera que estaba montando.

Y el otro... he dicho basta porque no tengo por qué cotillear lo de otros.

Una cosa es probar el bug y otra saltarme su privacidad porque sí, cuando yo soy el primero que defiende la mía.

🗨️ 1
BocaDePez
BocaDePez

Tienes razón, por alguna razón se demoraba bastante la carga o no estaba poniendo el ftp://.

He visto fotitos de bodas, cumpleaños, morritos, etc., una pena que la gente no se entere de que están exponiendo sus datos a todo quisqui.

Ettamos vendíos.

vukits

Asus, .. Linksys ...

Menos mal que nos quedan los firmware abiertos..

🗨️ 2
BocaDePez
BocaDePez

La unica diferencia entre uno abierto y cerrado es que el abierto puede ser reparado por cualquier (miedo me da eso de "cualquiera"), y el otro solo por el que posea el fuente...

pero errores, mala praxis, etc. pueden tener ambos, claro que en el "abierto" puede ser mas complicado camuflar, pero se puede.

🗨️ 1
vukits

la seguridad por oscuridad no es seguridad ...

Eso ha quedado demostrado mil y unas veces ..

BocaDePez
BocaDePez

Upss sí.... pastebin.com/ASfYTWgw

Poninedo ftp:// y la IP se accede al usb si lo tiene pinchado, que fuerte!!!!