Revelado: cómo los fabricantes de enrutadores domésticos dejaron caer la pelota en seguridad

Revelado: cómo los fabricantes de enrutadores domésticos dejaron caer la pelota en seguridad

Las vulnerabilidades de seguridad en su enrutador doméstico han sido la historia durante años, con la responsabilidad de los usuarios de mantener actualizado el firmware de su enrutador. Pero un informe condenatorio de Fraunhofer dice que los propios fabricantes de enrutadores han tardado años en emitir parches, con potencialmente docenas de vulnerabilidades críticas al acecho en los enrutadores más antiguos.

El informe de junio de Fraunhofer-Institut fur Kommunikation (FKIE) extrajo imágenes de firmware de enrutadores fabricados por Asus, AVM, D-Link, Linksys, Netgear, TP-Link y Zyxel: 127 en total. El informe (como célebre por ZDNet) comparó las imágenes de firmware con vulnerabilidades conocidas y técnicas de mitigación de vulnerabilidades, de modo que incluso si una vulnerabilidad estuviera expuesta, el diseño del enrutador podría mitigarla.

No importa cómo lo cortes, Estudio de Fraunhofer señaló fallas básicas en seguridad en varios aspectos. En el nivel más básico, 46 ​​enrutadores no recibieron ninguna actualización en absoluto en el año pasado. Muchos utilizaron núcleos de Linux obsoletos con sus propias vulnerabilidades conocidas. Cincuenta enrutadores utilizaron credenciales codificadas, donde un nombre de usuario y contraseña conocidos se codificaron en el enrutador como una credencial predeterminada que le pedía al usuario que lo cambiara, pero aún así estarían disponibles, si no lo hicieran.

FKIE no pudo encontrar un solo enrutador sin fallas. El instituto tampoco podía nombrar a un único proveedor de enrutadores que evitara los problemas de seguridad.

“AVM hace [a] mejor trabajo que los otros proveedores en la mayoría de los aspectos “, concluyó el informe. “Asus y Netgear hacen un mejor trabajo en algunos aspectos que D-Link, Linksys, TP-Link y Zyxel”. Nos pusimos en contacto con Belkin (Linksys) y D-Link, dos proveedores mencionados en el informe, para obtener comentarios, pero no recibimos respuesta al momento de la publicación.

“En conclusión, la política de actualización de los proveedores de enrutadores está muy por detrás de los estándares, tal como la conocemos por los sistemas operativos de escritorio o servidor”, dijo FKIE en otra parte del informe. “Sin embargo, los enrutadores están expuestos a Internet las 24 horas del día, lo que conlleva un riesgo aún mayor de infección de malware”.

Fraunhofer desglosó cómo los proveedores de enrutadores se han quedado cortos en varias categorías.

Días desde la última versión de firmware: Aunque se actualizaron 81 enrutadores en los últimos 365 días antes de que el FKIE reuniera sus resultados (27 de marzo de 2019 para que coincida con el 27, 2020), el número promedio de días para la actualización anterior, en todos los dispositivos, fue de 378. FKIE dijo que 27 de los dispositivos no se había actualizado en dos años, y el peor absoluto se extendía a 1.969 días, más de cinco años.

Asus, AVM y Netgear publicaron actualizaciones para todos sus dispositivos dentro de un año y medio, al menos. En comparación, la mayoría de los programas antivirus emiten actualizaciones al menos diariamente.

Edad del sistema operativo: La mayoría de los enrutadores ejecutan Linux, un modelo de software de código abierto que ofrece a los investigadores la capacidad de examinar el código básico del kernel de Linux y aplicar parches. Sin embargo, cuando el núcleo está desactualizado, las vulnerabilidades fundamentales conocidas en el sistema operativo están listas para ser explotadas. FKIE utilizó la Herramienta de análisis y comparación de firmware de código abierto (FACT) para extraer el firmware del enrutador, y descubrió que un tercio de los enrutadores se ejecutaba sobre el kernel de Linux 2.6.36, una versión anterior. El estudio encontró que la última actualización de seguridad para la versión del kernel 2.6.36 se proporcionó hace nueve años.

Abundaban las vulnerabilidades críticas en los enrutadores probados. los promedio el número de vulnerabilidades críticas encontradas para cada enrutador fue de 53, incluso los mejores enrutadores están sujetos a 21 vulnerabilidades críticas (también hubo 348 vulnerabilidades de alta calificación).

Mitigar la explotación: Los enrutadores se pueden construir para proteger su núcleo utilizando una variedad de técnicas de mitigación de vulnerabilidades, incluido el bit no ejecutable (NX) para marcar una región de memoria como no ejecutable. Esta era una forma común de proteger el enrutador, pero FKIE descubrió que el uso de técnicas de mitigación de exploits era raro.

Related Stories