Investigadores de seguridad de IoT Inspector se asoció con CHIP Magazine para probar nueve de los Wi-Enrutadores Fi para exploits y vulnerabilidades. Los resultados son impresionantes : Estos enrutadores no solo están mal asegurados, sino que también sufren vulnerabilidades que los investigadores de seguridad identificaron por primera vez hace meses o años.
Los enrutadores probados por IoT Inspector y CHIP provienen de ASUS, AVM, D-Link, Edimax , Linksys, Netgear, Synology y TP-Link. Todos ejecutaron la última versión del firmware del fabricante y es muy probable que las vulnerabilidades encontradas en estos enrutadores existan en otros modelos de las mismas marcas.
Aquí están los hallazgos detallados de IoT Inspector y CHIP Magazine, que incluyen una buena noticia que demuestra la importancia de este tipo de investigación.
Resultados del inspector de IoT y de la revista CHIP
Las partes del lado izquierdo de este gráfico se tradujeron del alemán. Inspector de IoT, CHIP
Antes de adentrarnos en todas las terribles fallas de estos enrutadores populares, necesito tomarme un momento y explicar cómo IoT Inspector ejecutó estas pruebas. Vea, IoT Inspector es una empresa de software que vende una herramienta automatizada de análisis de seguridad para enrutadores y otros dispositivos conectados.
IoT Inspector ejecutó el firmware de cada enrutador a través de esta herramienta automatizada para probar más de 5,000 CVE y otra seguridad problemas. Esto es lo que encontró:
Estos son los resultados de las pruebas de IoT Inspector y CHIP:
Los nueve enrutadores sufren un total de 226 fallas. El Archer AX6000 de TP-Link es el mayor infractor y sufre 32 errores de seguridad. El RT-2600ac de Synology está en segundo lugar, con 30 fallas de seguridad. La mayoría de las fallas de seguridad identificadas son de riesgo “alto” o “medio”. Cada enrutador probado sufre una vulnerabilidad conocida que no se corrigió.
Si bien los investigadores no compartieron mucha información detallada sobre estas fallas y errores de seguridad, sí publicaron una vulnerabilidad crítica encontrada en el enrutador DIR-X460 de D-Link. Aquí está el resumen: IoT Inspector encontró una manera de enviar actualizaciones de firmware maliciosas al DIR-X460 de D-Link extrayendo su clave de cifrado.
Además, IoT Inspector y CHIP publicaron algunas de las fallas más comunes que se encuentran en estos nueve enrutadores:
Contraseñas predeterminadas débiles, como”admin”. Credenciales codificadas en texto doloroso, ya sabes, datos sin cifrar. Kernel de Linux desactualizado en el firmware del enrutador. Funcionalidad multimedia y VPN obsoleta, que podría explotarse. Uso de versiones antiguas de BusyBox.
Tenga en cuenta que cualquiera puede realizar estas pruebas, incluidos los fabricantes de enrutadores. Claramente, las nueve marcas probadas aquí no se están tomando el tiempo para asegurar adecuadamente sus productos.
Las buenas noticias: los fabricantes están abordando los problemas
Sarah Chaney
Según la revista CHIP, cada uno de los nueve fabricantes de enrutadores respondió a estas pruebas y emitió actualizaciones de firmware para abordar las vulnerabilidades en sus productos. La mayoría de estas correcciones son para vulnerabilidades de”bajo riesgo”, pero es un buen comienzo.
Estas son las acciones tomadas por cada fabricante después de esta investigación. Tenga en cuenta que estos puntos están traducidos de Informe de CHIP , que está en alemán.
ASUS : ASUS examinó nuestros hallazgos y nos presentó una respuesta detallada. ASUS parcheó el BusyBox obsoleto, y ahora está actualizado para”curl”y el servidor web. Los problemas de contraseña sobre los que advertimos eran archivos temporales que el proceso elimina cuando finaliza. No son un riesgo. D-Link : D-Link nos agradeció la sugerencia y publicó una actualización de firmware para solucionar los problemas mencionados. Edimax : Edimax no se esforzó demasiado en comprobar estos problemas, pero publicó una actualización para solucionar algunos. Linksys : Linksys abordará todos los problemas clasificados como”alto”y”medio”. Evitará las contraseñas predeterminadas en el futuro y ha emitido una actualización de firmware para los problemas restantes. Netgear : el equipo de Netgear trabajó duro y examinó todos los problemas. Netgear cree que algunas de sus vulnerabilidades de”alto riesgo”no son un gran problema. Ha enviado una actualización para DNSmasq e iPerf, aunque otros problemas deben abordarse primero. Synology : Synology está solucionando los problemas que encontramos con una actualización del kernel de Linux. BusyBox y PHP se actualizarán y Synology limpiará sus certificados. Curiosamente, todos los dispositivos Synology se benefician de esta actualización. TP-Link : la actualización de BusyBox, CURL y DNSmasq eliminó muchos de los problemas de TP-Link. Todavía necesita un nuevo kernel, pero TP-Link tiene más de 50 correcciones planificadas para su firmware.
Para que quede claro, IoT Inspector no ha verificado si estos parches funcionan o no. E incluso si funcionan, estos enrutadores siguen siendo vulnerables a exploits conocidos (y probablemente desconocidos).
¿Qué debe hacer?
Tanto si utiliza uno de los enrutadores afectados como si no, le sugiero actualizar manualmente el firmware de su enrutador y habilitar las actualizaciones automáticas (si aún no están habilitadas). Hacerlo garantiza que su enrutador esté a salvo de las últimas vulnerabilidades, o al menos las que los fabricantes decidan corregir.
También debe establecer una contraseña segura de Wi-Fi y deshabilitar funciones como WPS (Wi-Fi Configuración protegida) y UPnP (Universal Plug and Play), que abre su red para malware y es criticado regularmente por el FBI por sus numerosas fallas de seguridad.
Y si está utilizando un enrutador increíblemente antiguo (o dispositivo NAS, para el caso), debería considerar seriamente una actualización. El hardware de red antiguo a menudo está lleno de vulnerabilidades conocidas que los fabricantes simplemente no se preocupan de parchear.
Para obtener más información sobre cómo proteger su enrutador, visite nuestra guía detallada en How-To Geek.
Fuente: IoT Inspector , Revista CHIP a través de Computadora que suena