netgear-router-1

netgear-router-1

Software

Cuidado si usas un router de Netgear, un bug los hace fácilmente hackeables

El último bug en los routers Netgear es uno de los peores que te puedes encontrar; es muy fácil de hackear y de aprovechar para los atacantes.

13 diciembre, 2016 16:06

Noticias relacionadas

Investigadores han descubierto un bug en los routers Netgear que permite a los atacantes tomar el control con mucha facilidad.

El router es la primera línea de defensa frente a los hackers; es el puente que une nuestra red privada con Internet, y como tal su seguridad es de vital importancia.

Por eso la noticia de que varios routers de Netgear tienen un bug que deja la puerta abierta a atacantes es tan grave. De hecho, algunos expertos de seguridad han llegado a reaccionar avisando a los usuarios de que dejemos de usar los routers de la marca.

Una vulnerabilidad que deja las puertas de nuestro router abiertas

Sólo es necesario que el usuario de cualquier dispositivo que esté conectado al router pulse un enlace malicioso. El dispositivo sólo tiene que estar en la misma red para que la petición pase por el router hasta Internet.

El enlace parece normal, pero en realidad inyecta un comando que el router ejecutará con permisos de root; “root” es el usuario con más poderes del sistema, y por lo tanto acceder a él supone que el atacante puede hacer lo que quiera con el dispositivo.

netgear-router-2

netgear-router-2

El problema está en que el router no filtra el contenido de las peticiones HTTP que recibe; esto permite a un atacante incluir comandos dentro del propio enlace, que son ejecutados por el router.

La gravedad de este bug es muy grande, según los expertos. Permite ejecutar comandos sin necesidad de meter la contraseña del router, e incluso funciona si no hemos activado la gestión remota.

Cómo saber si tenemos el bug en los routers Netgear

Netgear ha confirmado que la vulnerabilidad afecta a los siguientes routers.

  • R6250
  • R6400
  • R6700
  • R7000
  • R7100LG
  • R7300
  • R7900
  • R8000

Para saber si nuestro router está afectado por la vulnerabilidad, sólo tenemos que abrir una nueva pestaña e introducir la siguiente URL.

http://[direccion]/cgi-bin/;uname$IFS-a

Donde “[direccion]” es la dirección IP del router. Suele ser 192.168.1.1, pero puede ser diferente dependiendo de la red. Por ejemplo.

http://192.168.1.1/cgi-bin/;uname$IFS-a

Si aparece un mensaje 404, un error o una página en blanco, es que nuestro router no es vulnerable. Si aparece otra cosa, como información del router, es que lo es.

Solución temporal al bug en los routers Netgear

netgear-router-5

netgear-router-5

Netgear aún no ha publicado ningún parche, pero es posible tapar el agujero de manera temporal. Lo interesante es que para ello tenemos que usar el agujero nosotros mismos para cerrar el servidor web que recibe los comandos.

Para ello, entramos en esta dirección

http://[direccion]/cgi-bin/;killall$IFS'httpd'

Donde “[direccion]” es la dirección IP del router. Este comando cerrará el servidor web, pero este volverá a arrancar en cuanto reiniciemos el router; por eso es sólo una solución temporal.

Actualizado: Netgear acaba de lanzar los primeros parches para los modelos R6400, R7000 y R8000. Estos parches están en estado beta y no han sido probados, pero si tenemos mucha urgencia podemos usarlos.