Actualización, 2 de octubre de 2024: esta historia, publicada originalmente el 30 de septiembre, ahora incluye una nueva investigación sobre 14 nuevas vulnerabilidades de enrutadores, incluido un problema de gravedad de diez sobre diez.
Si estás leyendo esto, es casi seguro que lo haces sin darte cuenta de que podrías estar dejando la puerta abierta a los piratas informáticos. Una nueva investigación ha revelado que un sorprendente 86% de los usuarios de banda ancha tienen poca idea sobre la ciberseguridad, o al menos sobre la seguridad del dispositivo que utilizan para conectarse a Internet. Esa es la cantidad de personas que nunca han cambiado la contraseña de administrador de su enrutador de banda ancha predeterminada de fábrica, y eso es una gran preocupación, advirtieron los expertos en seguridad. He aquí por qué y qué debe hacer al respecto ahora mismo.
La encuesta de seguridad del enrutador Broadband Genie revela una falla de seguridad crítica
La última encuesta de seguridad de enrutadores realizada en nombre de Broadband Genie ha proporcionado una visión escalofriante de los hábitos de seguridad de los usuarios de Internet. ¿O deberían ser hábitos de inseguridad? A comparar cómo habían cambiado las actitudes de seguridad del enrutador En comparación con las dos encuestas anteriores, completadas en 2018 y 2022, la encuesta encuestó a más de 3.000 usuarios, haciendo preguntas idénticas a las de años anteriores.
Las estadísticas principales que se extraen del informe son que el 52% de los usuarios nunca habían profundizado en la configuración de su enrutador para configurar el dispositivo de manera diferente al estado predeterminado de fábrica de ninguna manera. Sin embargo, un sorprendente 86% admitió no haber cambiado nunca la contraseña de administrador predeterminada de fábrica. Estas cifras muestran un aumento con respecto a los resultados de encuestas anteriores, lo que muestra que la conciencia sobre la ciberseguridad parecería estar disminuyendo entre la población general que utiliza enrutadores.
Esto es asombrosamente deprimente para alguien como yo, que pasa gran parte de su vida laboral tratando de transmitir los conceptos básicos de higiene y seguridad a una audiencia no técnica. He fallado, eso está claro, ya que cambiar la contraseña de administrador predeterminada de su enrutador debería ser lo primero que debe hacer al encender el dispositivo.
“Dejar la contraseña predeterminada es la forma más fácil para que alguien obtenga acceso a su enrutador y, por lo tanto, a su red y dispositivos conectados”, advirtió Alex Toft, experto residente en banda ancha de Broadband Genie. “Es una invitación abierta a personajes nefastos para que husmeen y tomen lo que es suyo”. Si eliges un adecuado contraseña segurahay no es necesario cambiarlo nuevamente a menos que se haya visto comprometido.
El cambio que ahora recomienda es menos urgente si su enrutador es un modelo más nuevo que al menos viene con una contraseña de administrador única en lugar de una predeterminada estándar que sea la misma para todos los usuarios. Sin embargo, si esta contraseña es demasiado corta o fácil de adivinar, entonces todavía tiene sentido profundizar en la configuración del administrador y cambiarla, en mi nunca humilde opinión. La encuesta reveló resultados igualmente pobres a la hora de buscar la contraseña de Wi-Fi, algo que el 72% de los usuarios dijo que nunca hace. Aunque se puede argumentar que, para la mayoría de las personas, la mayor parte del tiempo, esto no es un gran problema de seguridad, sigue siendo algo que siempre recomiendo hacer, ya que de todos modos es una buena práctica. “Al igual que la contraseña de administrador del enrutador, las contraseñas Wi-Fi predeterminadas son bien conocidas”, dijo Toft, “y un hacker experto tardaría unos segundos en obtener acceso”.
Las contraseñas no son el único fruto de la seguridad al alcance de la mano
Casi nueve de cada diez (89%) de los encuestados también dijeron que nunca actualizaron el firmware de su enrutador. En muchos sentidos, esta es la revelación más impactante desde una perspectiva de seguridad. Una vez más, se trata de un (muy) ligero aumento en la cifra con respecto a la encuesta de 2022, lo que sugiere que el mensaje de seguridad no se escucha con suficiente fuerza. “No actualizar puede dejar a los enrutadores vulnerables”, advirtió Toft, “razón por la cual este resultado no es el que queríamos ver”. Por supuesto, intentar actualizar el firmware del enrutador puede ser una tarea hercúlea para la mayoría de los usuarios, aunque los enrutadores más nuevos lo hacen más fácil con la implementación de actualizaciones automáticas.
“Los ciberdelincuentes se aprovechan de los errores y vulnerabilidades del firmware para obtener acceso a su información en línea”, dijo Oliver Devane, investigador senior de seguridad de McAfee, “mantener el firmware actualizado con los últimos parches de seguridad evitará que esto suceda”. “
Acciones que todos los usuarios de enrutadores de banda ancha deben realizar ahora
Los investigadores de Broadband Genie recomiendan que todos los usuarios de enrutadores de Internet hagan lo siguiente, siguiendo las instrucciones proporcionadas por el proveedor (una búsqueda de su modelo de enrutador o proveedor de banda ancha en Google generalmente dará buenos resultados) o comunicándose con su proveedor de servicios de Internet si es necesario:
- Desconecte Internet y realice un restablecimiento completo de fábrica del enrutador.
- Cambie la contraseña de administrador de su enrutador, la contraseña de Wi-Fi y el nombre de la red por algo único de inmediato.
La Agencia de Defensa Cibernética de Estados Unidos emite advertencias sobre vulnerabilidades de día cero del enrutador
La Agencia de Defensa Cibernética de Estados Unidos, más conocida como Agencia de Seguridad de Infraestructura y Ciberseguridad, ha emitido una directiva oficial que exige a las agencias federales aplicar actualice las mitigaciones para dos vulnerabilidades de seguridad que se sabe que los piratas informáticos explotan en la naturaleza atacando dos tipos diferentes de enrutadores. Aunque el mandato de CISA se aplica legalmente sólo a los empleados federales, la agencia de seguridad advierte que todas las organizaciones deben utilizar el catálogo de vulnerabilidades explotadas conocidas para mantenerse al día con la actividad de amenazas y asesorar sobre sus marcos de gestión de vulnerabilidades.
CISA ha agregado dos nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas, basadas en evidencia de explotación activa por parte de piratas informáticos y sujetas a una Directiva Operativa Vinculante obligatoria, que requiere que las agencias del Poder Ejecutivo Civil Federal remedien los días cero en un período máximo de 60 días. y mucho menos para vulnerabilidades calificadas como críticas.
Las vulnerabilidades que se están explotando están relacionadas con dos fabricantes de enrutadores diferentes, D-Link y DrayTek, pero ambos son del mismo tipo general: inyecciones de comandos del sistema operativo. Este tipo de vulnerabilidades “presentan riesgos importantes” y son “vectores de ataque frecuentes para ciberactores maliciosos”, según CISA.
CVE-2023-25280 es una vulnerabilidad de inyección de comandos del sistema operativo en enrutadores D-Link DIR-820 que podría permitir que un atacante remoto y no autenticado escale sus privilegios al nivel raíz mediante el uso de una carga útil diseñada con fines malintencionados. CISA dijo que actualmente se desconoce el uso de este exploit en ataques de ransomware y, como el enrutador afectado está al final de su vida útil o de servicio, se recomienda su interrupción y reemplazo. Los consejos de seguridad están disponibles en D-Link.
Mientras tanto, CVE-2020-15415 afecta a los enrutadores Vigor3900, Vigor2960 y Vigor300B de DrayTek. La vulnerabilidad permite la ejecución remota de código a través de metacaracteres de shell dentro de un nombre de archivo cuando se utiliza un tipo de contenido text/x-python-script. CISA recomienda aplicar mitigaciones según las instrucciones del proveedor. Más consejos de seguridad están disponibles en DrayTek.
Dray:Break Report revela 14 nuevas vulnerabilidades en los enrutadores DrayTek
Una nueva investigación publicada el 2 de octubre por Vedere Labs en Forescout Research ha revelado 14 vulnerabilidades más que afectan a los enrutadores de DrayTek. El informe, “DRAY:BREAK Irrumpir en los enrutadores DrayTek antes de que los actores de amenazas lo vuelvan a hacer” de Stanislav Dashevskyi y Francesco La Spina, detalla cómo los investigadores pudieron rastrear una vulnerabilidad con una calificación de gravedad máxima de 10, otra con una puntuación igualmente crítica de 9,1 y 9 que se clasificaron como de gravedad media. Las vulnerabilidades, según el informe, cubrieron a usuarios en 168 países, dejando un total de 704.000 enrutadores expuestos a riesgos como ataques distribuidos de denegación de servicio, abuso de botnets y ataques de ransomware. De los 704.000 enrutadores expuestos a Internet, Forescout dijo que al menos 425.000 se encontraban en el Reino Unido y la UE, y más de 190.000 en Asia. Sólo 7.200 estaban ubicados en América del Norte.
Forescout afirmó que los enrutadores DrayTek corren un riesgo particular de atención de los ciberdelincuentes, ya que se utilizan ampliamente en muchos sectores industriales diferentes, lo que los hace atractivos para usuarios genuinos y piratas informáticos maliciosos. “Los enrutadores son cruciales para mantener los sistemas internos conectados con el mundo exterior, pero muchas organizaciones pasan por alto su seguridad hasta que son explotados por atacantes”, afirmó Barry Mainz, director ejecutivo de Forescout. “Los ciberdelincuentes trabajan día y noche para encontrar grietas en las defensas de los enrutadores, utilizándolas como puntos de entrada para robar datos o paralizar las operaciones comerciales”.
The Dray: Explicación de las vulnerabilidades del enrutador de rotura
Como se confirmó en la advertencia dada por CISA, estas vulnerabilidades podrían proporcionar a un atacante la capacidad de llevar a cabo un ataque de ejecución remota de código utilizando un exploit de inyección de comandos del sistema operativo. Algunas de las vulnerabilidades incluyeron las siguientes:
- Se utilizaron las mismas credenciales de administrador en todo el sistema (incluidos los sistemas operativos huésped y host). La obtención de estas credenciales podría comprometer todo el sistema.
- La función “GetCGI()” en la interfaz de usuario web, responsable de recuperar los datos de la solicitud HTTP, era vulnerable a un desbordamiento del búfer al procesar los parámetros de la cadena de consulta.
- Múltiples problemas de desbordamiento del búfer en la interfaz de usuario web se debían a comprobaciones de límites faltantes al recuperar y manejar parámetros de formulario CGI.
- El servidor web backend para la interfaz de usuario web utilizó una cadena estática para inicializar el PRNG en OpenSSL para TLS. Esto puede haber permitido a los atacantes lograr la divulgación de información y realizar ataques de intermediario.
Vulnerabilidades del enrutador DrayTek ahora parcheadas
En total, las vulnerabilidades descubiertas por los investigadores de Vedere Labs afectaron a 24 modelos de enrutadores DrayTek, de los cuales 11 ya habían llegado al final de su vida útil. Alrededor del 63% de los dispositivos expuestos estaban al final de su venta o de su vida útil, lo que, según el informe, hacía más difícil parchearlos y, por lo tanto, protegerlos contra exploits que surgieran de tales vulnerabilidades.
La buena noticia, sin embargo, es que los investigadores actuaron de manera responsable y revelaron los problemas a DrayTek de manera oportuna. Como parte de este proceso de divulgación responsable, DrayTek ahora ha parcheado todas las vulnerabilidades de firmware que Vedere Labs descubrió.
“Para protegerse contra estas vulnerabilidades, las organizaciones deben parchear inmediatamente los dispositivos DrayTek afectados con el firmware más reciente”, advirtió Daniel dos Santos, jefe de investigación de seguridad de Forescout Research Vedere Labs. “Deshabilitar el acceso remoto innecesario, implementar listas de control de acceso y autenticación de dos factores, y monitorear anomalías a través del registro syslog son pasos cruciales”.