Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/12/2014
Almenys 12 milions d'encaminadors domèstics afectats per un forat de seguretat
La companyia de seguretat informàtica Check Point informa de la detecció d’una vulnerabilitat crítica -encara que antiga- que afecta, almenys, 12 milions d'encaminadors.
Este error, que ha sigut batejat amb el nom de galleta de la desgràcia (Misfortune Cookie), "podria ser usat per a prendre el control -amb privilegis d’administrador- de milions d'encaminadors domèstics i de pimes", sosté la companyia.
El programari afectat és "el programa de servidor web RomPager d’AllegroSoft, que normalment està encastat en el microprogramari integrat en els dispositius", afirma Check Point en una nota.
Així, la companyia ha detectat que este forat, almenys, en una dotzena de milions de dispositiu de diferents models i fabricants en tot el món, i que podria arribar a permetre a un atacant prendre control del dispositiu i els seus privilegis d’administració.
Fins a 200 models d'encaminadors patixen este forat, de fabricants i marques com ara D-Link, Edimax, Huawei, TP-Link, ZTE i ZyXEL.
Segons Check Point, “un atacant podria, a través d’esta vulnerabilitat, prendre el control de milions d'encaminadors de tot el món per a controlar i robar dades dels dispositius, cablejats i sense fil, connectats a les seues xarxes".
És a dir, ordinadors, telèfons, impressores, cambres de seguretat o qualsevol altre electrodomèstic connectat a la xarxa a través d’un encaminador compromés podria acabar controlat remotament per un possible atacant. No obstant això, no s’ha detectat cap cas respecte d’això de moment.
Per a tancar el forat de seguretat, és necessari instal·lar un pegat per al microprocessador del dispositiu. Alguns mitjans especialitzats sostenen que AllegroSoft va arreglar el forat en el seu microprocessador 2005, però el codi encara ha de ser corregit en milions d'encaminadors en les oficines. L’error de programació data de 2002.
Check Point, que no ha revelat informació sobre esta vulnerabilitat en profunditat per motius obvis de seguretat, ha habilitat un lloc web d’informació sobre la galleta de la desgràcia que completa la informació d’este error.