La idea de aprovechar una vulnerabilidad existente en un módem o router para atacar al sistema o robar datos no es nueva, pero cuando dicha vulnerabilidad lleva ocho meses sin ser corregida por el fabricante, estamos ante algo muy serio. Ese es el caso de la serie RT de routers Asus, que expone los datos del usuario directamente a la Web. Por suerte, un grupo de expertos en seguridad decidió enviar una advertencia…
Todo comenzó con un extraño mensaje “encontrado” por usuarios de routers Asus pertenecientes a la serie RT. El cuerpo del mensaje es sencillo, en formato de texto plano, y no contiene ninguna clase de código malicioso, pero su advertencia ha logrado poner en alerta a una gran cantidad de gente. Básicamente, su contenido explica que tanto el router como los archivos del usuario presentes en una unidad externa conectada a los puertos USB del dispositivo, pueden ser accedidos por cualquier persona con una conexión a Internet, sin credenciales. A continuación, el mensaje comparte dos enlaces: Uno de Pastebin con casi 13 mil direcciones IP filtradas (todas ellas asociadas en algún punto a routers Asus vulnerables), y el otro lleva a un documento de texto en el que se detalla cuáles son los problemas de seguridad en estos routers, además de ofrecer un torrent con casi 800 megabytes de listas de archivos obtenidas en forma remota. Desde un punto de vista técnico, las vulnerabilidades son dos, reportadas ocho meses atrás por el experto en seguridad Kyle Lovett. La primera permite acceso anónimo y completo por diseño a un dispositivo USB conectado al router, gracias a la función de servidor FTP. La segunda se concentra sobre el servicio AiCloud, que guarda nombres de usuario y contraseñas en texto plano dentro de un archivo que puede ser descargado sin ninguna clase de login. Dicho de otro modo, más que un agujero, estamos ante un cráter.
Una lista parcial de los routers Asus afectados menciona a los modelos RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, y RT-AC56U, pero se cree que toda la serie RT podría estar comprometida. Las actualizaciones de firmware que reparan a estos dos bugs monstruosos están llegando a paso de caracol, un detalle que está dejando muy mal parada a la gente de Asus. Por el momento, las dos recomendaciones principales son desactivar tanto la función FTP como AiCloud, hasta que alguien en Asus decida tomar cartas en el asunto. La situación es grave. De nueve direcciones IP que escogí al azar en la lista de Pastebin, dos seguían expuestas por completo a la Web, mientras que la tercera ya había sido protegida con un login diferente. Si tienes uno de estos routers, no esperes más. Busca el IP de tu servidor FTP en la lista de Pastebin y en el torrent, y aunque no aparezca allí, protégete de todos modos.