Defcon 2022: argentinos descubren una vulnerabilidad grave en los routers más vendidos

Los atacantes pueden tomar control del dispositivo, depositar virus o ver las comunicaciones. Las marcas comprometidas. Investigadores de Faraday, una empresa de seguridad informática argentina, descubrieron una falla que afecta a los routers más vendidos de América Latina. Se trata de una vulnerabilidad que permite a atacantes ejecutar programas de manera remota sin el permiso…

defcon-2022:-argentinos-descubren-una-vulnerabilidad-grave-en-los-routers-mas-vendidos

Los atacantes pueden tomar control del dispositivo, depositar virus o ver las comunicaciones. Las marcas comprometidas.

Investigadores de Faraday, una empresa de seguridad informática argentina, descubrieron una falla que afecta a los routers más vendidos de América Latina. Se trata de una vulnerabilidad que permite a atacantes ejecutar programas de manera remota sin el permiso del usuario, tener control total del equipo y depositar virus o intervenir las comunicaciones.

La falla, llamada CVE-2022-27255, se encuentra en lo que se llama el “SDK” de Realtek (empresa que fabrica semiconductores -componentes electrónicos-), esto desborda hacia otras marcas como Everest, D-Link, Nexxt, Nisuta, Tenda, Zyxel y otras más.

“La vulnerabilidad que detectamos en el SDK de Realtek no es solo para routers, sino también access points y repetidores. La misma puede ser usada por un atacante para ejecutar código en el router de forma remota sin intervención del usuario y bajo la configuración por defecto. Esto le permitiría tener control total sobre el dispositivo”, explicó Octavio Gianatiempo, investigador de Faraday, a Clarín.

Desde Las Vegas, donde se lleva a cabo Defcon 2022, una de las conferencias de hackers más grandes del mundo, aclaró qué es el SDK: “El Source Development Kit es código que provee funcionalidades básicas sobre las cuales un desarrollador después puede construir. En este caso Realtek, el fabricante de los chips que usan estos routers, provee un SDK que tiene las funcionalidades de red y la interfaz web del router. Luego los desarrolladores agregan su marca, su diseño y, si quieren, funciones extra”.

El problema, que había sido reconocido por Realtek en marzo, fue encontrado por el equipo de investigación de Faraday, conformado por Gianatiempo, Octavio Galland, Emilio Couto y Javier Aguinaga.

Lo vieron en el router más vendido de Mercado Libre en Argentina, el Nexxt Nebula 300 plus.

El router más vendido de Mercado Libre: Nexxt Nebula 300 Plus, afectado por la vulnerabilidad. Foto ML “Pero después nos dimos cuenta que era parte del SDK de Realtek. Esto implica que otras marcas que fabrican routers basados en este SDK tienen altas chances de ser vulnerables”, explica Gianatiempo.

Como los routers son usados para compartir la conexión entre dispositivos de la red interna, no se trata de un problema que venga al contratar un proveedor de internet, que usan módems para establecer la conexión.

En general, va a afectar a aquellos usuarios que hayan comprado un router para mejorar la distribución de la conectividad en el hogar. O, a más escala, -y quizás con consecuencias más graves- en empresas.

Qué hacer si tu router tiene la falla Cómo contrastar la falla del SDK de Realtek. Foto: Shutterstock Lo primero que hay que decir es que la vulnerabilidad está catalogada como de severidad alta y de alto impacto según el Instituto SANS. Lo que significa que su alcance es muy grande.

Lo segundo, que hasta el momento identificaron 30 dispositivos de 20 marcas distintas. Pero, advierten desde Faraday, es probable que haya más.

“Buscando en Mercadolibre para toda Latinoamérica la cantidad de ventas de routers afectados encontramos al menos 130 mil ventas. Usando Shodan, encontramos al menos 60 mil dispositivos vulnerables en todo el mundo con el panel de administración expuesto. Pero por defecto el panel no está expuesto por lo que el número sería aún mayor”, explica Gianatiempo.

La única solución actual es descargar la última versión del ​firmware del router y consultar directamente con las notas del parche ​para ver si cubren la vulnerabilidad CVE-2022-27255.

El problema es que si el vendedor del router no aplica un parche, no hay nada que hacer, más que considerar cambiarlo.

Por el momento, estos routers seguro están afectados:​

Nexxt Nebula 300 Plus

Tenda F6 V5.0

Tenda F9 V2.0

Tenda AC5 V3.0

Tenda AC6 V5.0

Tenda AC7 V4.0

Tenda AC8 V2.0

Tenda AC10 V3

Tenda AC11 V2.0

Tenda N301 V2.0

Tenda FH456 V4.0

Zyxel NBG6615 V1.00

Intelbras RF 301K V1.1.5 DefCon y la participación argentina Octavio Gianatiempo habla junto a Octavio Gallard en Dercon 2022 sobre la falla de Realtek. Foto Faraday Defcon es, junto con Black Hat, una de las convenciones de hackers más grandes del mundo. Se realiza en Las Vegas todos los años desde 1993 y convoca a investigadores en ciberseguridad, periodistas, abogados y todo tipo de personalidades relacionadas al mundo del hacking.

“Para dar una charla uno se tiene que postular explicando los detalles técnicos de su investigación y cómo los va a presentar. Ser aceptado en alguna de estas dos conferencias implica que la investigación es de buen nivel y de interés para la comunidad de todo el mundo que asiste a estos evento”, explica Gianatiempo.

La investigación técnica de Faraday, empresa open source que detecta fallas de seguridad informática junto con sus soluciones, se puede leer acá.

SL