Descubren múltiples puertas traseras y vulnerabilidades en enrutadores FiberHome
Se han descubierto al menos 28 cuentas de puerta trasera y varias otras vulnerabilidades en el firmware del popular enrutador (router) FTTH ONT. Este router es ampliamente implementado en Sudamérica y el sudeste asiático.
FTTH ONT son las siglas de Fiber-to-the-Home Optical Network Terminal. Estos son dispositivos especiales instalados en el extremo de los cables de fibra óptica. Su función es convertir las señales ópticas enviadas a través de cables de fibra óptica en conexiones clásicas Ethernet o inalámbricas (WiFi).
Los enrutadores FTTH ONT suelen instalarse en edificios de apartamentos o dentro de las casas o negocios que optan por suscripciones de tipo gigabit.
Una gran cantidad de credenciales codificadas
En un informe publicado la semana pasada, el investigador de seguridad Pierre Kim dijo que identificó una gran colección de problemas de seguridad. Los problemas afectan a FiberHome HG6245D y FiberHome RP2602, dos modelos de enrutadores FTTH ONT desarrollados por la empresa china FiberHome Networks.
El informe describe problemas tanto positivos como negativos con los dos modelos de enrutador y su firmware.
Por ejemplo, los aspectos positivos son que ambos dispositivos no exponen su panel de administración a través de la interfaz externa IPv4. Esto imposibilita los ataques contra su panel web a través de Internet. Además, la función de administración de Telnet, de la que las botnets suelen abusar, también está desactivada de forma predeterminada.
Sin embargo, Kim dice que los ingenieros de FiberHome aparentemente no han podido activar estas mismas protecciones para la interfaz IPv6 de los enrutadores. Kim señala que el firewall del dispositivo solo está activo en la interfaz IPv4 y no en IPv6. Esto permite a los atacantes acceso directo a todos los servicios internos del enrutador, siempre que conozcan la dirección IPv6 para acceder al dispositivo.
Vulnerabilidades
Comenzando con este problema, Kim detalló una larga lista de puertas traseras y vulnerabilidades. Él las descubrió en los dispositivos que afirma que los atacantes podrían explotar para hacerse cargo de la infraestructura del ISP. Estos problemas incluyen los siguientes:
- La interfaz de administración filtra detalles del dispositivo si se accede desde un navegador con JavaScript desactivado. Uno de los detalles filtrados es la dirección MAC del dispositivo.
- Un mecanismo de puerta trasera permite que un atacante use la dirección MAC del dispositivo para iniciar una conexión Telnet al enrutador. Lo puede hacer enviando una solicitud HTTPS especialmente diseñada [https://[ip]/telnet?enable=0&key=calculated(BR0_MAC)].
- Las contraseñas y las cookies de autenticación para el panel de administración se almacenan en texto plano en los registros HTTP.
- La interfaz de administración está protegida mediante un certificado SSL codificado almacenado en el dispositivo que se puede descargar y usar para MitM y otros ataques.
- El servidor web (panel de administración) incluye una lista de 22 credenciales codificadas. Kim cree que fueron agregadas y están en uso por diferentes proveedores de servicios de Internet.
- El firmware también incluye credenciales codificadas para administrar el dispositivo a través del protocolo TR-069.
- También hay credenciales en el binario del servidor web que están cifradas. Sin embargo, la clave XOR para descifrarlos también está en el binario, lo que hace que su cifrado sea inútil. Como señala Kim, esta es la misma clave XOR utilizada en el firmware de los dispositivos C-Data, también afectada por problemas similares de puerta trasera.
- También se incluye una contraseña root codificada para un servidor Telnet. Sin embargo, este servidor está desactivado de forma predeterminada.
Telnet
- El firmware también incluye diferentes conjuntos de credenciales codificadas para una cuenta Telnet de bajo nivel. Kim encontró cuatro.
- Una vulnerabilidad de escalada de privilegios en el demonio Telnet permite a los atacantes escalar sus privilegios al nivel root.
- Pero la autenticación Telnet también se puede evadir por completo, a través de dos métodos diferentes.
- O puedes usar un ataque de denegación de servicio para bloquear Telnet por completo.
- Además, varias contraseñas para otros servicios de enrutador se almacenan en texto plano dentro del firmware o la NVRAM del enrutador.
Basado en el número y la naturaleza de las cuentas de puerta trasera codificadas que descubrió dentro del firmware del dispositivo, Kim tiene su teoría. Él dijo que cree que “el proveedor ha colocado algunas puertas traseras intencionalmente”.
Cabe destacar que FiberHome no ha dado su postura oficial al respecto
Kim dijo que encontró estos problemas en enero de 2020 y que había notificado al proveedor. El investigador no pudo determinar si se ha corregido alguna vulnerabilidad, ya que no ha probado versiones más nuevas del firmware desde entonces.
Además, el investigador también advierte que los mismos problemas de puerta trasera/vulnerabilidad también podrían afectar a otros modelos de FiberHome. Esto debido al hecho de que la mayoría de los proveedores tienden a reutilizar o editar ligeramente el firmware entre diferentes series de producción.
Los dispositivos FiberHome fueron explotados el año pasado
Es de suma urgencia que los propietarios de dispositivos aseguren los enrutadores FiberHome. A fines de 2019, investigadores de seguridad de Qihoo 360 informaron que los ciberdelincuentes ya habían estado explotando los sistemas FiberHome. Los usaron para ensamblar botnets, la mayoría de las cuales se utilizan como redes proxy.
En mayo de 2020, el Departamento de Comercio de Estados Unidos agregó FiberHome y otras ocho empresas tecnológicas chinas a una lista negra. La lista negra restringe el acceso a empresas, exportaciones y tecnología de Estados Unidos.
En un comunicado de prensa, funcionarios estadounidenses afirmaron que las nueve empresas eran “cómplices de violaciones de derechos humanos. Abusos cometidos en la campaña de represión, detención arbitraria masiva, trabajo forzoso y vigilancia de alta tecnología de China contra uigures, kazajos. Y, otros miembros de grupos de la minoría musulmana en la Región Autónoma Uigur de Xinjiang (XUAR)”.