¡Alerta! Millones de cablemódem en peligro, incluyendo los de operadoras españolas

Redes

Según el tipo de tecnología que tengamos disponible en casa para conectarnos a Internet (FTTH o HFC), será necesario contar con un tipo de equipamiento de red diferente. En el caso de la fibra hasta el hogar se utiliza la combinación de ONT + router o bien un dispositivo todo en uno. Por su parte, en el caso del cable HFC, la única opción que tenemos son los cablemódem. Estos dispositivos de red están en el ojo del huracán desde hace unas horas tras el descubrimiento de una grave vulnerabilidad bautizada como Cable Haunt. Esta permite tomar el control de los mismos y afecta a modelos que instalan operadoras de nuestro país.

Cuatro investigadores de seguridad daneses han desvelado la existencia de un agujero de seguridad que afecta a los cablemódem que montan chips de Broadcom, es decir, un cifra muy elevada. Esta vulnerabilidad se ha dado a conocer bajo el nombre de Cable Haunt y se estima que, sólo en Europa, afecta a más de 200 millones de dispositivos, lo que hace que nos la tengamos que tomar muy en serio.

Modelos y operadores con cablemódem afectado por Cable Haunt

La vulnerabilidad afecta a un componente estándar de los chips de Broadcom conocido como spectrum analyzer (analizador de espectro) y que protege el cablemódem de sobretensiones de señal e interferencias que vienen a través del cable coaxial. Es un componente utilizado en muchas ocasiones por las operadoras para medir la calidad de conexión.

cable haunt

Los investigadores señalan que este componente no tiene ningún tipo de protección contra ataques DNS Rebinding y además utiliza credenciales por defecto. A todo esto, se suman errores de programación en su firmware. Este cóctel de problemas provoca que, engañando al usuario para que visite una web maliciosa, se pueda atacar el cablemódem.

El ataque permite:

  • Cambiar el servidor DNS predeterminado
  • Realizar ataques remotos MITM
  • Inter cambiar código “en caliente” e incluso todo el firmware
  • Cargar, flashear y actualizar el firmware
  • Desactivar actualizaciones del firmware del operador
  • Cambiar la configuración
  • Obtener o cambiar los valores SNMP OID
  • Cambiar las direcciones MAC
  • Cambiar números de serie
  • Ser “explotado” en una botnet

Los responsables del hallazgo incluso han lanzado una página web dónde explica como comprobar si estamos afectados por Cable Haunt. Por el momento, ellos mismos han confirmado que estos modelos están afectados:

  • Sagemcom F@st 3890 con firmware 50.10.19.*
  • Sagemcom F@st 3686 con firmware SIP_3.428.0-*
  • Technicolor TC7230 con firmware STEB 01.25
  • Netgear C6250EMR con firmware V2.01.05
  • Netgear CG3700EMR con firmware V2.01.03
  • Sagemcom F@st 3890 con firmware 05.76.6.3a
  • Sagemcom F@st 3686 con firmware 4.83.0
  • COMPAL7284E con firmware 5.510.5.11
  • COMPAL 7486E con firmware 5.510.5.11
  • Netgear CG3700EMR con firmware V2.01.05

Sin ir más lejos, el Technicolor TC7230 es uno de los cablemódem montados por Vodafone o R para sus usuarios de HFC. Además, la comunidad ha confirmado que Cable Haunt afecta a otros modelos:

  • Technicolor TC4400 con firmware SR70.12.33-180327
  • Surfboard SB8200 con firmware 0200.174F.311915
  • Netgear CM1000 con firmware V6.01.02
  • Netgear CM1000-1AZNAS con firmware V5.01.04
  • Arris CM8200A sin confirmar firmware
Escrito por Claudio Valero

Fuente > cablehaunt

Continúa leyendo
  • Vaderkf

    adslzone…. alarmistas, sensacionalistas, en fin.

    • Dicen los que lo han descubierto que hay más de 200 millones afectados sólo en Europa. No entiendo la acusación.

      • Vaderkf

        Alerta? para hacer que?

        Cambiar el servidor DNS predeterminado
        Realizar ataques remotos MITM
        Inter cambiar código “en caliente” e incluso todo el firmware
        Cargar, flashear y actualizar el firmware
        Desactivar actualizaciones del firmware del operador
        Cambiar la configuración
        Obtener o cambiar los valores SNMP OID
        Cambiar las direcciones MAC
        Cambiar números de serie
        Ser “explotado” en una botnet

        «Todo esto lo hacen varias a veces a cualquier usuario de casa para conseguir ver las fotos de las vacaciones….» por favor!! que aporta ese «ALERTA» con signos de admiracion??
        Articulo sensacionalista

        • Pedrin

          Te parece poco?

          • Vaderkf

            Lo que me parece es que la gente de a pie le da igual. Nadie va a hackear el router de tu casa tio, y creo que es un titular sensacionalista que no aporta nada. Con decir «Se ha detectado…» … en «peligro» la conexion de tu casa? en serio tio? va hombre va tanta paranoia..

            • Galen Pathwarden

              Tengo un router Asus con una función que se llama AIProtection que me indica que cada semana tengo entre 8 y 20 intentos de ips que al buscarlas me dicen que son ip rusas que atacan para explotar vulnerabilidades de los routers. Por suerte Asus saca cada x meses firmwares nuevos que arreglan los fallos que se van descubriendo.

              Los hackers hacen escaneos constantes en rangos de ips buscando donde entrar, da igual que sea una casa o una empresa, si tu equipo es vulnerable van a sacar provecho metiendote en un botnet, entrando en tu red o lo que sea, aunque no seas nadie.

              • Vaderkf

                Yo tambien tengo asus, 2 en malla imesh. Sigo pensando lo mismo, Alerta?? que va a hacer el usuario (nada), no explican como solucionarlo, solo se limitan a lanzar la noticia en plan alarmista.
                Los coches diesel los estan dejando de fabricar, no por la contaminación, sino porque los derivados de petroleo para refinar lo se esta acabando. No veo nadie lanzando noticias en plan ATENCION!! ALARMA!! porque? para no crear alarma social innecesaria, que creo que es lo que hace el titular del articulo (no critico que informen de ello).

                «Los hackers hacen escaneos constantes en rangos de ips buscando donde entrar» para hacer que en tu casa??

                • Galen Pathwarden

                  Si a ti te da igual que metan tu router/equipo en una botnet o entren a uno de tus pcs y te roben contraseñas más o menos sensibles pues bueno, es cosa tuya, a mi no me da igual.

                  Y si te piensas que un titular en esta web puede crear «alarma social» eres muy crédulo. Yo no te estoy rebatiendo que esta web ponga titulares sensacionalistas, te estoy rebatiendo que digas que los problemas de seguridad de los equipos son una tontería y que como es un equipo de una casa da igual.

        • arisma

          No tiene nada que ver un cambio en los DNS para saltarse los bloqueos de web, con el hecho de que cambien el servidor dns a uno propia y pensando que estás en tu web del banco, estés accediendo a una clonada.

  • Kad argo

    ¿La vulnerabilidad depende de la version de firmware? Porque por ejemplo el

    COMPAL 7486E con firmware 5.510.5.11, actualmente en Vodafone tiene la versión 5.510.5.14