Nuevas vulnerabilidades en router D-Link permiten tomar control remoto del dispositivo

El equipo de investigación de NIVEL4 ha descubierto diversas vulnerabilidades que afectan a un modelo específico de routers D-Link. Las vulnerabilidades permiten tomar control remoto del dispositivo con privilegios de administrador.

Se trata de dos vulnerabilidades que al ser explotadas permiten tomar control remoto del dispositivo. Además de esta capacidad, la vulnerabilidad permite conocer las distintas contraseñas configuradas en el dispositivo, como por ejemplo WPA KEY.

Se han asignado dos CVE para las vulnerabilidades detectadas:

  • CVE-2018-14080: Es posible saltarse los mecanismos de seguridad y autenticación para descagar un archivo de configuración.
  • CVE-2018-14081: Almacenamiento de credenciales en texto plano. Es posible acceder a las credenciales explotando la vulnerabilidad anterior.

El timeline de la vulnerabilidad es el siguiente:

Explotando la vulnerabilidad CVE-2018-14080 (Incorrect Access Control) y aprovechandose de CVE-2018-14081 (CWE-256: Unprotected Storage of Credentials, CWE-312: Cleartext Storage of Sensitive Information) , es posible tomar control remoto del dispositvio y realizar cualquier tipo de acción con privilegios de administrador.

El modelo afectado es el router D-Link DIR-809 y el exploit ha sido probado de forma exitosa en las siguientes versiones de firmware:

  • A1 <= 1.09 (última versión)
  • A2 <= 1.11 (última versión)
  • GuestZone (Brazil) <= 1.09 (última versión)

Se detectaron más de 7 mil de estos dispositivos conectados a internet, los cuales son vulnerables y pueden ser controlados de forma remota por un atacante. Si bien existen dispositivos a nivel mundial, su principal uso es en Latinoamérica.

·El fabricante no ha lanzado ninguna actualización para mitigar esta vulnerabilidad.