Millones de módems en riesgo de secuestro remoto


Múltiples modelos de cable módem de varios fabricantes que se encuentran vulnerables a los ataques de adquisición

Cientos de millones de módems de cable de varios fabricantes pueden ser susceptibles a una vulnerabilidad crítica que puede permitir a los atacantes interceptar los mensajes privados de las personas o redirigir su tráfico de Net, según una nueva investigación.

Seguido como CVE-2019-19.494 y apodado Cable Haunt, se estima que la vulnerabilidad afectó a casi todos los módems de cable en Europa hasta hace poco, y muchos aún están en riesgo. ¿Cómo es eso? Los investigadores de la consultora de seguridad con sede en Dinamarca Lyrebird, que descubrieron el agujero de seguridad y detallaron sus hallazgos en un documento disponible para descargar desde este sitio website dedicado – Ponlo de esta manera:

“Se estima que hay 200 millones de módems de cable solo en Europa. Con casi ningún módem de cable probado ser segura y sin una actualización de firmware, el número de módems inicialmente vulnerables en Europa se estima en cerca de este número “, dijo la compañía. Algunos proveedores de servicios de Net (ISP) fueron notificados recientemente del problema y enviaron firmware para solucionar el problema. De cualquier manera, se sospecha que hay módems más vulnerables en todo el mundo.

El fantasma en el modem

La falla reside en el computer software de referencia que ejecuta la herramienta de análisis de espectro en chips fabricados por la compañía de semiconductores Broadcom. El componente del analizador de espectro, que tiene la tarea de identificar y depurar problemas en la conexión de cable de módem, es utilizado por varios fabricantes de módem de cable en el firmware de sus dispositivos, de ahí la aparentemente gran cantidad de módems vulnerables.

Si bien el analizador de espectro está expuesto a la crimson nearby, los atacantes aún podrían abusar Cable Haunt para acceso remoto desde cualquier parte del mundo. Se descubrió que los módems eran vulnerables a la ejecución remota de código a través de un WebSocket conexión, que se inicia después de que la víctima es atraída a un sitio net atrapado por explosivos que sirve código JavaScript malicioso. El ataque de desbordamiento del búfer resultante proporciona a los actores de la amenaza acceso al módem, mientras que los mecanismos de seguridad del navegador se omiten con éxito con un Ataque de enlace DNS.

“La vulnerabilidad es posible debido a la falta de protección adecuada autorización del cliente WebSocket, credenciales predeterminadas y un mistake de programación en el analizador de espectro. Estas vulnerabilidades pueden dar a un atacante un manage remoto whole sobre toda la unidad y todo el tráfico que fluye a través de ella, mientras que es invisible tanto para el usuario como para el ISP y puede ignorar las actualizaciones remotas del sistema «, dijeron los investigadores.

Las posibles acciones maliciosas incluyen la manipulación de Configuración de DNS, Reemplazando el firmware del módem, dispositivos acorralar en una purple de bots, o la realización de ataques remotos Man-in-the-Center (MitM) para interceptar la información privada.

El equipo de investigación creó un exploit de prueba de concepto (POC) y lo probó con éxito en varias versiones de firmware en varios módems de cable de Sagemcom, Netgear, Arris, Compal y Technicolor. Una lista completa de módems y versiones de firmware que se confirmó que son vulnerables está disponible en el sitio website mencionado anteriormente. También está disponible el código POC, que permite a los usuarios verificar si su cable módem specific también puede ser susceptible a la amenaza.

¿Qué otra cosa hacer?

Los investigadores también dijeron que habían notificado a la mayor cantidad posible de los ISP y fabricantes más grandes, con mayor o menor éxito: “Algunos de los ISP contactados nos han informado que tienen o están implementando actualizaciones de firmware sin embargo, todavía nos faltan actualizaciones de varios, y algunos han deseado no aparecer en este sitio web «. Las personas que hayan recibido su módem de cable de su ISP probablemente tendrán que esperar a que su proveedor envíe la actualización, a menos que esto ya haya sucedido.

Mientras tanto, BankInfoSecurity citó a Broadcom diciendo que la compañía «realizó la corrección correspondiente al código de referencia y esta corrección se puso a disposición de los clientes en mayo de 2019».

En una nota positiva, los investigadores dijeron que no son conscientes del abuso actual de los ataques en la naturaleza. Cable Haunt. De hecho, los ataques no son triviales para llevar a cabo.








Enlace a la noticia original