Un fallo de seguridad en los Livebox de Orange expone las credenciales de seguridad a todo Internet
Una de las primeras cosas que siempre se recomienda a la hora de configurar una red es la de cambiar las contraseñas de origen por unas que solo nosotros conozcamos, y que sean suficientemente seguras para que no puedan ser fácilmente averiguables. Por desgracia, en ocasiones un dispositivo en red que no esté correctamente diseñado será siempre un agujero de seguridad hagamos lo que hagamos, y es el caso de los Livebox ADSL de Orange.
Si bien se le ha asignado el código CVE-2018-20377 a esta vulnerabilidad, este fallo ya estaba presente en 2012 en los routers de la compañía, donde una solicitud a un archivo denominado get_getnetworkconfig.cgi nos devolvería toda la información contenida en el archivo en texto plano, incluido el SSID y la contraseña para conectarse al router, así como la contraseña del panel de administración.
Teniendo en cuenta el estilo del panel de administración del Livebox, podremos tener acceso a toda la red cableada e inalámbrica, así como a datos sensibles como el número de teléfono asignado a esa línea, con lo que podríamos encontrarnos con problemas de suplantación de identidad entre otros al tener el control total del dispositivo, hasta el punto de poder instalar malware en él.
19490 routers vulnerables fueron detectados por el estudio, la práctica totalidad de ellos en España.
Esta vulnerabilidad está bajo investigación por parte de Orange, pero por ahora no existe respuesta de la compañía, la cual debería crear una actualización del firmware de estos dispositivos para tapar el agujero de seguridad con un sistema de permisos y autenticación más robusto.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!