Arris Routers: Vulnerabilidades Críticas y Cómo Proteger Tu Red

By /

Los routers Arris, ampliamente desplegados por Proveedores de Servicios de Internet (ISPs) a nivel mundial, han sido objeto de recientes descubrimientos de vulnerabilidades críticas que podrían poner en riesgo la seguridad de las redes domésticas y empresariales. Estas fallas, identificadas bajo designaciones como CVE-2020-9476 y CVE-2022-31793, residen en el servidor web muhttpd integrado en el firmware de varios modelos de routers Arris, afectando a millones de usuarios que dependen de estos dispositivos para su conectividad a Internet y telefonía.

Router Arris en un hogar

La Raíz del Problema: El Servidor Web muhttpd

El servidor web muhttpd (mu HTTP deamon) es una pieza de software escrita en C, diseñada con los principios de simplicidad, portabilidad y seguridad. Sin embargo, a pesar de sus intenciones, versiones antiguas de este servidor, específicamente la utilizada en el firmware de ciertos routers Arris, presentan serias deficiencias de seguridad. Uno de los principales problemas radica en su incapacidad para cifrar adecuadamente las credenciales de acceso. En lugar de un cifrado robusto, el firmware 9.1.103DE2, por ejemplo, simplemente codifica las credenciales en base64. Esta codificación, aunque oculta la información a una vista casual, es fácilmente decodificable y no proporciona una protección real contra ataques dirigidos.

Derek Abdine, un investigador de seguridad, ha sido fundamental en la identificación de estas vulnerabilidades. Su investigación ha puesto de manifiesto que el servidor muhttpd presente en el firmware de Arris se basa en una versión obsoleta y vulnerable, la 1.1.5, lanzada originalmente en 2010. Aunque existe una versión más reciente, la 1.1.7, publicada en junio de 2022, muchos dispositivos aún operan con el código vulnerable.

CVE-2022-31793: El Peligro del "Path Traversal"

Una de las vulnerabilidades más significativas descubiertas es la CVE-2022-31793, catalogada como un ataque de "path traversal" o recorrido de directorios. Este tipo de ataque tiene como objetivo acceder a archivos y directorios que se encuentran fuera de la carpeta raíz designada para el servidor web. Los ataques de "path traversal" a menudo se conocen como ataques "dot-dot-slash" debido a la manipulación de variables de archivo mediante secuencias como "../" para navegar por la estructura de directorios y acceder a archivos arbitrarios.

En el caso de muhttpd versión 1.1.5, la vulnerabilidad CVE-2022-31793 es particularmente preocupante. Simplemente anteponiendo un carácter que no sea un punto (.), una barra inclinada (/) o un signo de interrogación (?) a la ruta solicitada, un atacante puede obtener acceso a casi cualquier archivo regular en el dispositivo. Esto abre la puerta a la exfiltración de una gran cantidad de información sensible.

Diagrama explicando el Path Traversal

Información Sensible en Riesgo

La explotación de la vulnerabilidad CVE-2022-31793 permite a un atacante remoto no autentificado (si la administración remota está habilitada) o a cualquier actor con acceso local a la red (LAN) obtener acceso a una amplia gama de datos críticos. Entre la información comprometida se incluye:

  • Contraseñas cifradas (con sal) en /etc/passwd: Estas contraseñas, aunque no están en texto plano, son hashadas y saladas, lo que podría facilitar ataques de fuerza bruta o de diccionario si el atacante logra obtenerlas.
  • SSID y contraseña de redes Wi-Fi (2G y 5G): La exposición de estas credenciales permite a un atacante conectarse a la red Wi-Fi del usuario, obteniendo acceso directo a dispositivos y datos dentro de la red local.
  • Nombres de usuario y contraseñas (a veces cifradas) de cuentas de administración: Esto podría permitir al atacante tomar el control total del router y de la red.
  • Información de configuración del protocolo TR-069: Este protocolo es utilizado por los ISPs para la gestión remota de los dispositivos de sus clientes. La exposición de esta información podría dar al atacante una visión detallada de la configuración de la red y las interacciones con el ISP.
  • Credenciales del Protocolo de Inicio de Sesión (SIP): Incluyendo nombres de usuario (números de teléfono) y contraseñas, así como URLs de puntos finales SIP. Esto es particularmente relevante para usuarios que utilizan el router para servicios de telefonía IP.
  • Configuración de reenvío de puertos (port forwarding): Permite al atacante comprender qué servicios están expuestos desde la red local a Internet.
  • Otra información sensible de la red: Como conexiones TCP establecidas, que podrían revelar detalles sobre la actividad de red.
  • Registros del sistema y del cortafuegos: Estos registros pueden contener información valiosa sobre la actividad del dispositivo y la red, incluyendo intentos de acceso o fallos de seguridad.
  • Lista completa de direcciones IP locales, nombres de host, direcciones MAC, tiempo de actividad y características del dispositivo: Esto proporciona al atacante un mapa detallado de todos los dispositivos conectados a la red local.
  • Número de serie del router: Información que podría ser utilizada en ataques de ingeniería social o para identificar modelos específicos y sus vulnerabilidades asociadas.
  • Certificado y clave privada del portal de gestión web: Esto es extremadamente crítico, ya que permite al atacante suplantar la identidad del router y potencialmente interceptar el tráfico o realizar ataques "man-in-the-middle".
  • Información de procesos del router: Detallando qué servicios se están ejecutando en el dispositivo.

Otros Fallos de Seguridad en muhttpd

Además de la vulnerabilidad de "path traversal", el investigador Derek Abdine identificó otras dos fallas que, si bien son menos sencillas de explotar, también representan riesgos de seguridad:

  • Desreferencia de puntero NULL (NULL pointer dereference): El servidor muhttpd procesa las solicitudes HTTP en sockets no bloqueantes. Cuando se reciben datos, el servidor los lee en un bucle hasta encontrar una secuencia específica. Si un atacante inyecta un byte NULL en el flujo de la solicitud, puede provocar que el proceso que maneja la solicitud se bloquee (segfault). Aunque un segfault generalmente causa que un programa se cierre, en ciertas circunstancias podría ser explotado para desestabilizar el servicio o, en escenarios más complejos, para ejecutar código.
  • Lectura fuera de límites al decodificar URLs (Buffer over-read): El servidor muhttpd presenta una vulnerabilidad de lectura fuera de límites al procesar valores codificados con porcentaje (percent-encoded). Cuando encuentra un signo de porcentaje ("%") en una URL, intenta decodificar los dos caracteres siguientes sin verificar los límites del búfer. Si la URL contiene un "%" seguido de caracteres insuficientes, la función decode_url puede leer más allá de los datos de la URL y acceder a partes del búfer de la solicitud que contienen la cadena de versión del protocolo HTTP. Si bien no es fácilmente explotable para ejecución de código, esta vulnerabilidad indica una falta de validación robusta de las entradas y podría ser utilizada para obtener información sobre la memoria del servidor.

Dispositivos Afectados y su Alcance

El servidor muhttpd vulnerable se encuentra en una variedad de productos de routers Arris, tanto los basados en fibra óptica y DSL (series NVG), como en productos "whitelabel" o de marca blanca fabricados por otros proveedores. La naturaleza de estos dispositivos es que los ISPs los proporcionan a sus suscriptores, lo que significa que un gran número de hogares y pequeñas empresas dependen de ellos.

Modelos específicos de routers Arris que han sido identificados como vulnerables incluyen, pero no se limitan a: NVG443, NVG599, NVG589, NVG510. También se ven afectadas variantes personalizadas por ISPs, como los modelos BGW210 y BGW320. Es importante destacar que algunos routers Arris, como los modelos SBR-AC1900P, SBR-AC3200P y SBR-AC1200P (con versiones de firmware específicas), son vulnerables a otra falla, CVE-2022-26992, que permite la ejecución de comandos arbitrarios.

Las búsquedas en Internet han revelado la existencia de miles de routers directamente conectados a Internet que presentaban estas vulnerabilidades. Si bien muchos de estos dispositivos han sido parcheados, la naturaleza fragmentada de las actualizaciones de firmware, gestionadas de forma independiente por cada ISP, sugiere que las versiones vulnerables persistirán durante años.

Mejora tu WiFi! Aprende a Actualizar el Firmware de tu Router TP-Link Rápido y Fácil

Mitigación y Protección de Tu Red

Ante la existencia de estas vulnerabilidades, es crucial tomar medidas para proteger tu red. Aunque hasta la fecha no se han reportado ataques masivos utilizando estas fallas específicas, la disponibilidad de código de prueba de concepto (proof of concept) y el conocimiento público de las vulnerabilidades solo hacen cuestión de tiempo antes de que los atacantes las exploten.

Las principales recomendaciones para mitigar estos riesgos son:

  1. Desactivar la Administración Remota: Si tu router Arris utiliza una versión vulnerable de muhttpd, la medida más inmediata y efectiva es desactivar la opción de administración remota. Esto limita la posibilidad de que un atacante explote estas vulnerabilidades desde fuera de tu red local (Internet). La administración remota generalmente permite acceder a la interfaz de configuración del router desde cualquier ubicación con conexión a Internet. Al desactivarla, el acceso se restringe a la red local (LAN).

  2. Actualizar el Firmware: Ponte en contacto con tu Proveedor de Servicios de Internet (ISP) para preguntar sobre la disponibilidad de una versión de firmware parcheada para tu modelo de router. Los ISPs son responsables de gestionar y distribuir las actualizaciones de firmware para los dispositivos que proporcionan a sus clientes. Solicita que se aplique la actualización lo antes posible.

  3. Considerar el Reemplazo del Dispositivo: Si tu ISP no puede proporcionar una actualización de firmware o si el dispositivo es antiguo y ya no recibe soporte, considera seriamente reemplazar el router por un modelo más nuevo y seguro. Los routers más modernos suelen incluir mecanismos de seguridad más robustos y reciben actualizaciones de firmware más frecuentes.

  4. Utilizar un Cortafuegos (Firewall): Asegúrate de que el cortafuegos de tu router esté activado y configurado correctamente. Si bien las vulnerabilidades de "path traversal" pueden afectar incluso con un cortafuegos si la administración remota está habilitada, un cortafuegos bien configurado puede ayudar a bloquear otros tipos de accesos no deseados desde Internet. En el caso de gateways basados en Arris afectados, utilizar un cortafuegos para los puertos de acceso remoto desde Internet es una medida de seguridad adicional.

  5. Monitorear la Red: Mantente atento a cualquier comportamiento inusual en tu red. Si notas una disminución significativa en la velocidad de Internet, dispositivos desconocidos conectados, o cualquier otra anomalía, podría ser indicativo de una intrusión.

La seguridad de nuestros dispositivos de red es fundamental en la era digital. Las vulnerabilidades en routers tan extendidos como los de Arris subrayan la importancia de la vigilancia continua, la aplicación de parches y la adopción de medidas de seguridad proactivas para proteger nuestra información y nuestra privacidad.

tags: #vulnerabilidad #router #arris

Publicaciones populares:

  • Antenas repetidoras y salud
  • Protocolos de seguridad web
  • SSP9 Cable Coaxial
  • Descubre si AtherosSvc es un virus
  • Análisis del Wiko Pulp 4G