ChipGate | Noticias | 23 FEB 2015

Decenas de miles de routers de Telefónica en riesgo por claves SSH duplicadas

El error de configuración podría poner los routers en riesgo de ser atacados. Aparentemente a decenas de miles de routers en los hogares con la herramienta de acceso remoto con claves públicas y privadas idénticas.
Wifi-cloud-router-transferencia
Jeremy Kirk, IDG News Service

John Matherly utilizó una herramienta de búsqueda especializada, denominada Shodan, para interrogar dispositivos conectados a Internet, y descubrió más de 250.000 dispositivos, al parecer implantados por Telefónica de España, que tenían la misma clave SSH pública.

 

Matherly, fundador de Shodan, ejecutó la búsqueda después de que alguien publicara una versión reducida de una clave pública, denominada huella, para su dispositivo. Se sorprendió cuando descubrió que más de 250.000 dispositivos adicionales, fundamentalmente en España, tenían la misma clave pública. Esto significa que los dispositivos, aparentemente routers en los hogares, tienen todos la misma clave privada, lo que puede suponer un riesgo de seguridad importante.

 

En una búsqueda diferente descubrió otros 150.000 dispositivos, la mayoría en China y Taiwan, que tenían el mismo problema.

 

Matherly ha afirmado en una entrevista telefónica que es posible que los fabricantes copiaran la misma imagen del sistema operativo a todos los routers. Otra explicación es que un ISP duplicó la configuración y lo hizo de forma errónea.

 

De cualquier manera, es cuestionable si se debería ejecutar SSH en routers para el hogar, ya que se utiliza por administradores para permitir el acceso remoto y cifrado a un sistema, pero esta es una capacidad que no es necesaria para routers en el hogar. Todos los routers de Telefónica de España ejecutaban una versión de SSH denominada “Dropbear”.

 

“Es extraño en primer lugar que SSH esté allí instalado”, ha afirmado Matherly, quién hizo público su descubrimiento. “No se necesita cambiar la clave de Wi-Fi cuando se está fuera de casa. Es muy extraño”.

La configuración de un router en el hogar se accede habitualmente por los que están en la red local a través de un interfaz web protegido por clave.

 

Matherly sostiene que otro problema de miles de dispositivos compartiendo el mismo par de claves es que no hay forma de especificar un dispositivo específico. Una clave pública sirve para verificar que un dispositivo es quien dice ser, pero si muchos dispositivos comparten la misma huella, es imposible verificarlo, aclara Matherly.

 

Es difícil decir si los errores de las claves significa que un atacante remoto podría penetrar en todos los dispositivos, ya que depende de cómo se hayan configurado los dispositivos para su autenticación remota.

 

Pero “el mayor problema que veo es que si se compromete uno de ellos, se sabe que todos los demás van a ser exactamente iguales”, ha comentado Matherly.

 

También ha explicado que él no había llevado la prueba tan lejos, ya que sólo interrogó los dispositivos con Shodan, que realiza la tarea de poner en marcha una conexión con el router, incluyendo la recogida de su huella pública, pero que no intenta hacer login. “Resulta casi imposible para los consumidores averiguar cómo generar nuevas claves SSH o desactivar SSH del router”, afirma Matherly.

 

El problema no es único con los routers en el hogar. Los suministradores de servicios informáticos en la nube han cometido ocasionalmente errores al no generar nuevas claves SSH con nuevas instancias de máquinas virtuales, dijo Matherly. “Este tipo de problemas ocurre habitualmente en la nube”, ha finalizado.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios