Un investigador de seguridad cibernética de Tenable ha descubierto múltiples vulnerabilidades de seguridad en los enrutadores Wi-Fi Verizon Fios Quantum Gateway que podrían permitir a los atacantes remotos tomar el control total de los enrutadores afectados, exponiendo todos los demás dispositivos conectados a él.

Utilizados actualmente por millones de consumidores en los Estados Unidos, los enrutadores Wi-Fi Verizon Fios Quantum Gateway se han encontrado vulnerables a tres vulnerabilidades de seguridad, identificadas como CVE-2019-3914, CVE-2019-3915 y CVE-2019-3916.

Los defectos en cuestión están autenticados. inyección de comando (con privilegios de root), repetición de inicio de sesióny divulgación de sal de contraseña vulnerabilidades en el enrutador Verizon Fios Quantum Gateway (G1100), según los detalles técnicos que Chris Lyne, ingeniero de investigación sénior de Tenable, compartió con The Hacker News.

Error de inyección de comando autenticado (CVE-2019-3914)

Al revisar el archivo de registro en su enrutador, Chris notó que las reglas de «Control de acceso» en la configuración del Firewall, disponible en la interfaz web del enrutador, no estaban desinfectando correctamente el parámetro «nombre de host» al pasar los valores como parte de un comando a la consola

Entonces, resultó que inyectar una entrada maliciosa como nombre de host puede manipular el comando Firewall, lo que eventualmente permite que un atacante ejecute código arbitrario en el dispositivo afectado.

«Observe que se emite el comando iptables. Claramente, debo haber ingresado tenable aquí en algún momento. Eso me hizo pensar… Me pregunto si puedo inyectar un comando del sistema operativo en esto «, dijo el investigador en una publicación de blog.

«Claramente, esto tiene que ver con las reglas de control de acceso en la configuración del cortafuegos. Investigué la interfaz web para ver si podía encontrar algo sostenible en cualquier lugar».

Sin embargo, debe tenerse en cuenta que para aprovechar esta vulnerabilidad (CVE-2019-3914), el atacante primero debe acceder a la interfaz web del enrutador, lo que reduce la superficie de ataque a menos que las víctimas no confíen en las contraseñas predeterminadas o débiles.

Además, los enrutadores afectados no vienen con la administración remota habilitada de forma predeterminada, lo que reduce aún más la amenaza de ataques basados ​​en Internet.

«Hay dos escenarios de ataque que permiten a un atacante ejecutar comandos de forma remota. Primero, la amenaza interna le permitiría a un atacante registrar la secuencia de inicio de sesión (hash salado) usando un rastreador de paquetes. Ya sea a través de acceso legítimo (un huésped de la casa) o ingeniería social (estafa de atención al cliente), un atacante podría obtener la contraseña de administrador del enrutador de destino de la etiqueta adhesiva en el enrutador y la dirección IP pública de la víctima habilitarla «, dijo Chris a The Hacker News en una entrevista por correo electrónico.

«Luego, el atacante puede explotar CVE-2019-3914 de forma remota, desde Internet, para obtener acceso de shell raíz remoto al sistema operativo subyacente del enrutador. Desde aquí, tiene el control de la red. Puede crear puertas traseras, grabar información confidencial transacciones por internet, pivotar a otros dispositivos, etc.”

Como se muestra en la demostración en video, dado que el enrutador de Verizon también es compatible con Java debido a la JVM integrada (Java Virtual Machine), un atacante puede simplemente cargar una carga útil basada en Java para obtener un shell inverso con privilegios de raíz para lanzar más ataques.

Para ejecutar un shell inverso de Java, el atacante solo necesita cargar y ejecutar una clase de Java, como dijo el investigador: «Lo logré programando el oyente HTTP para que devuelva una clase de Java compilada y codificada en Base64 en el cuerpo de la respuesta. Además, el código Java se compiló para la JVM de destino (Java SE 1.8).»

Errores de divulgación de sal de reproducción de inicio de sesión y contraseña

Además de los detalles y la demostración en video, el investigador también ha publicado el código de explotación de prueba de concepto para esta vulnerabilidad.

La segunda vulnerabilidad, identificada como CVE-2019-3915, existe porque la interfaz de administración web del enrutador se basa en la conexión HTTP insegura.

Permite a los atacantes basados ​​en la red interceptar solicitudes de inicio de sesión mediante un rastreador de paquetes y reproducirlas para obtener acceso de administrador a la interfaz web.

La tercera falla, identificada como CVE-2019-3916, permite que un atacante no autenticado recupere el valor de la contraseña salt simplemente visitando una URL en un navegador web.

Dado que el firmware del enrutador no aplica HTTPS, es posible que los atacantes capturen una solicitud de inicio de sesión que contenga un hash de contraseña salteado (SHA-512), que luego se puede usar para recuperar la contraseña de texto sin formato.

Tenable informó de manera responsable estas vulnerabilidades a Verizon, quien reconoció los problemas y los abordó en la nueva versión de firmware 02.02.00.13, que se aplicará automáticamente.

«Sin embargo, han [Verizon] Desde entonces, informaron que todavía están trabajando para enviar actualizaciones automáticas a una pequeña fracción de dispositivos. Se insta a los usuarios a confirmar que su enrutador está actualizado a la versión 02.02.00.13 y, de no ser así, comunicarse con Verizon para obtener más información».

En el momento de escribir este artículo, una simple búsqueda en Shodan reveló que casi 15 000 enrutadores Wi-Fi Verizon Fios Quantum Gateway con administración remota eran accesibles en Internet. Sin embargo, se desconoce cuántos de ellos ejecutan la versión de firmware parcheada.