Livebox es el nombre que Orange utiliza tanto para routers ADSL como fibra. En España, el operador naranja utiliza los Livebox Fibra y Livebox+ para las conexiones de fibra óptica dependiendo de dónde se tenga la ONT, mientras que en ADSL uno de los más usados es el Livebox 2.1 (aunque también puede usarse para fibra). Este último es el que se ha visto afectado por un grave fallo de seguridad.
Un fallo deja al descubierto el SSID y la contraseña del WiFi de casi 20.000 routers en España
Así lo ha publicado este fin de semana Troy Mursch, un investigador de seguridad de la empresa Bad Packets LLC. Esa empresa ha detectado que uno de sus honeypots ha descubierto a un atacante buscando de manera intensa routers Livebox 2.1 de Orange, empezando el pasado 21 de diciembre. En total, están afectados 19.500 routers del operador en España. Otros 2.000 routers estaban expuestos, pero no filtraban información.
Ese atacante estaba aprovechando una vulnerabilidad en routers Livebox 2.1 identificada como CVE-2018-20377, la cual permite a un atacante obtener la contraseña del WiFi y el SSID de la red interna accediendo al get_getnetworkconf.cgi.
Que un atacante tenga acceso a la contraseña del WiFi de nuestra red local es realmente peligroso. En primer lugar, porque el atacante puede usar la contraseña para tener acceso a nuestra red de manera local si se acerca a nuestra ubicación. Con servicios como WiGLE, un atacante puede obtener las coordenadas geográficas de una red WiFi usando sólo el SSID.
Si es una casa como un piso, puede que el atacante no se moleste en ir. Pero si estamos hablando de una gran empresa o una casa cara, ganar acceso a la red WiFi puede aportar importantes beneficios económicos.
Orange ya lo ha solucionado rápidamente
El atacante puede conectarse a la red WiFi del hogar, y buscar dispositivos de seguridad en busca de vulnerabilidades para desactivar el sistema de protección del hogar y entrar sin ser visto, así como aprovechar para buscar otras vulnerabilidades para robar credenciales o archivos sensibles.
En segundo lugar, el atacante puede usar el router afectado para añadirlo a una botnet. La contraseña del WiFi suele ser reutilizada como la de acceso para el panel de configuración, por lo que el atacante tiene acceso total a los ajustes del router y puede modificarlos a placer. En el router también es posible obtener el número de teléfono del usuario, dando lugar a otra multitud de ataques.
La mayoría de routers afectados se encuentran en bajo la red de Orange España. El atacante que está llevando a cabo los escaneos en búsqueda de dispositivos vulnerables está dentro de la misma red de Orange, pero no se sabe si con un router vulnerable.
Mursch ha avisado a Orange España sobre los fallos. El equipo de seguridad de Orange CERT ha recibido la alerta de seguridad y ha confirmado que se encuentran investigándolo. Los routers afectados son los de modelo LIVEBOX ARV7519RW22-A-LT VR9 1.2 de Arcadyan. Según ha confirmado oficialmente la operadora el día de Navidad, se ha realizado una actualización del software de los equipos de los clientes para potenciales y solucionar el problema.
Orange-CERT-CC@OrangeCertCC@bad_packets @debaprze @CERT_OPL Thanks for the notification. We’re handling your case.23 de diciembre, 2018 • 12:39
15
1