Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Alertan campaña activa abusando de la grave vulnerabilidad en Router Livebox Fibra Arcadyan de Orange


 La vulnerabilidad CVE-2021-20090. que también afecta a los routers LiveBox de Orange de la marca Arcadyan, están siendo explotados activamente para hackear a millones de dispositivos IoT en todo el mundo. El error explotado activamente permite omitir la autenticación en millones de routers expuestos en internet. Por suerte y como comentan en bandaancha.eu la vulnerabilidad ya fue solucionada por Orange.



La vulnerabilidad rastreada como CVE-2021-20090 es una vulnerabilidad crítica (gravedad calificada 9.9 / 10) en las interfaces web de routers con firmware Arcadyan que permite a atacantes remotos no autenticados eludir la autenticación.

Los actores de amenazas están explotando activamente un problema crítico de omisión de autenticación (CVE-2021-20090) que afecta a los enrutadores domésticos con firmware Arcadyan.

Los actores de amenazas explotan activamente una vulnerabilidad de derivación de autenticación crítica, rastreada como CVE-2021-20090, que afecta a los enrutadores domésticos con firmware Arcadyan para implementar un bot Mirai.




"Una vulnerabilidad de recorrido de ruta en las interfaces web de Buffalo WSR-2533DHPL2 versión de firmware <= 1.02 y WSR-2533DHP3 versión de firmware <= 1.24 podría permitir que atacantes remotos no autenticados eludan la autenticación". lee el aviso publicado por Tenable.

Esta falla afecta potencialmente a millones de dispositivos IOT fabricados por no menos de 17 proveedores, incluidos algunos ISP Españoles (Orange, Vodafone), un Mexicano (Telmex) y un Argentino (Telecom).

Los ataques en curso fueron detectados por investigadores de Juniper Threat Labs, los expertos creen que fueron realizados por un actor de amenazas que se dirigió a los dispositivos de IoT en una campaña desde febrero.

“A partir del 5 de agosto, identificamos algunos patrones de ataque que intentan explotar esta vulnerabilidad en la naturaleza proveniente de una dirección IP ubicada en Wuhan, provincia de Hubei, China. El atacante parece estar intentando implementar una variante de Mirai en los enrutadores afectados utilizando scripts similares en nombre a los mencionados por Palo Alto Networks en marzo. Habíamos sido testigos de la misma actividad a partir del 18 de febrero ". lee el análisis publicado por los expertos de Juniper. "La similitud podría indicar que el mismo actor de amenazas está detrás de este nuevo ataque e intenta actualizar su arsenal de infiltración con otra vulnerabilidad recién revelada".

Los ataques en curso fueron descubiertos por los investigadores de Juniper Threat Labs mientras monitoreaban la actividad de un actor de amenazas conocido por atacar la red y los dispositivos de IoT desde febrero.

Según los expertos, entre el 6 de junio de 2021 y el 23 de julio, el actor de amenazas comenzó a explotar las siguientes vulnerabilidades:

  • CVE-2020-29557 (enrutadores DLink)
  • CVE-2021-1497 y CVE-2021-1498 (Cisco HyperFlex)
  • CVE-2021-31755 (Tenda AC11)
  • CVE-2021-22502 (MicroFocus OBR)
  • CVE-2021-22506 (MicroFocus AM)
  • un par de exploits más de exploit-db sin CVE relacionados.


Modelos Routers Vulnerables

Los dispositivos vulnerables incluyen docenas de modelos de enrutadores de múltiples proveedores e ISP, incluidos Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefónica), Verizon, Vodafone, Telstra y Telus.

Según la cantidad de modelos de enrutadores y la larga lista de proveedores afectados por este error, es probable que la cantidad total de dispositivos expuestos a ataques llegue a millones de routers.

Los investigadores de Tenable compartieron una lista de dispositivos afectados:

Fabricante - Modelo - Firmware

  • ADSL wireless IAD router 1.26S-R-3P
  • Arcadyan ARV7519 00.96.00.96.617ES
  • Arcadyan VRV9517 6.00.17 build04
  • Arcadyan VGV7519 3.01.116
  • Arcadyan VRV9518 1.01.00 build44
  • ASMAX BBR-4MG / SMC7908 ADSL 0.08
  • ASUS DSL-AC88U (Arc VRV9517) 1.10.05 build502
  • ASUS DSL-AC87VG (Arc VRV9510) 1.05.18 build305
  • ASUS DSL-AC3100 1.10.05 build503
  • ASUS DSL-AC68VG 5.00.08 build272
  • Beeline Smart Box Flash 1.00.13_beta4
  • British Telecom WE410443-SA 1.02.12 build02
  • Buffalo WSR-2533DHPL2 1.02
  • Buffalo WSR-2533DHP3 1.24
  • Buffalo BBR-4HG
  • Buffalo BBR-4MG 2.08 Release 0002
  • Buffalo WSR-3200AX4S 1.1
  • Buffalo WSR-1166DHP2 1.15
  • Buffalo WXR-5700AX7S 1.11
  • Deutsche Telekom Speedport Smart 3 010137.4.8.001.0
  • HughesNet HT2000W 0.10.10
  • KPN ExperiaBox V10A (Arcadyan VRV9517) 5.00.48 build453
  • KPN VGV7519 3.01.116
  • O2 HomeBox 6441 1.01.36
  • Orange LiveBox Fibra (PRV3399) 00.96.00.96.617ES
  • Skinny Smart Modem (Arcadyan VRV9517) 6.00.16 build01
  • SparkNZ Smart Modem (Arcadyan VRV9517) 6.00.17 build04
  • Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM 1.01.00 build44
  • TelMex PRV33AC 1.31.005.0012
  • TelMex VRV7006
  • Telstra Smart Modem Gen 2 (LH1000) 0.13.01r
  • Telus WiFi Hub (PRV65B444A-S-TS) v3.00.20
  • Telus NH20A 1.00.10debug build06
  • Verizon Fios G3100 1.5.0.10
  • Vodafone EasyBox 904 4.16
  • Vodafone EasyBox 903 30.05.714
  • Vodafone EasyBox 802 20.02.226
Listado Modelos afectados en una imagen:



El falla CVE-2021-20090 existió en el firmware de Arcadyan durante al menos diez años, esto significa que todos los proveedores que lo usaron en sus modelos heredaron automáticamente el error.

Los investigadores también compartieron indicadores de compromiso (IOC) asociados con la última ola de ataques atribuidos a este actor de amenazas. 

Los actores de amenazas explotan activamente una vulnerabilidad crítica de derivación de autenticación que afecta a los enrutadores domésticos con firmware Arcadyan para controlarlos e implementar cargas útiles maliciosas de la botnet Mirai.

Los ataques en curso fueron descubiertos por los investigadores de Juniper Threat Labs mientras monitoreaban la actividad de un actor de amenazas conocido por atacar la red y los dispositivos de IoT desde febrero.


El fallo de seguridad fue descubierta por Tenable, que publicó un aviso de seguridad el 26 de abril y agregó un código de explotación de prueba de concepto el martes 3 de agosto.

"Esta vulnerabilidad en el firmware de Arcadyan ha existido durante al menos 10 años y, por lo tanto, se ha abierto camino a través de la cadena de suministro en al menos 20 modelos de 17 proveedores diferentes, y eso se menciona en un documento técnico que Tenable ha publicado", explicó Evan Grant. Ingeniero de Investigaciones de Tenable Staff

Desde el jueves, Juniper Threat Labs "identificó algunos patrones de ataque que intentan explotar esta vulnerabilidad en la naturaleza proveniente de una dirección IP ubicada en Wuhan, provincia de Hubei, China".

Los actores de amenazas detrás de esta actividad de explotación en curso utilizan herramientas maliciosas para implementar una variante de botnet Mirai, similar a las utilizadas en una campaña Mirai dirigida a dispositivos de seguridad de red y IoT, descubiertas por investigadores de la Unidad 42 en marzo.

"La similitud podría indicar que el mismo actor de amenazas está detrás de este nuevo ataque e intenta actualizar su arsenal de infiltración con otra vulnerabilidad recién revelada", dijo Juniper Threat Labs.

Los investigadores detectaron por primera vez la actividad de los actores de amenazas el 18 de febrero. Desde entonces, han agregado continuamente nuevos exploits a su arsenal, siendo el que apunta a CVE-2021-20090 el último incluido a principios de esta semana, y es más probable que se produzcan.

"Dado que es posible que la mayoría de las personas ni siquiera sean conscientes del riesgo de seguridad y no actualizarán su dispositivo en el corto plazo, esta táctica de ataque puede ser muy exitosa, barata y fácil de llevar a cabo".

Los indicadores de compromiso (IOC), incluidas las direcciones IP utilizadas para lanzar los ataques y los hash de muestra, están disponibles al final del informe de Juniper Threat Labs. 

CVE-2021-20090 (path transversal auth bypass) y CVE-2021-20091 (inyección de archivo de configuración RCE).

Fuentes:
https://www.bleepingcomputer.com/news/security/actively-exploited-bug-bypasses-authentication-on-millions-of-routers/

https://securityaffairs.co/wordpress/120908/hacking/cve-2021-20090-iot-attacks.html

https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wild

https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.