terça-feira, 18 de fevereiro de 2014

Discos USB ligados a routers da Asus vulneráveis na Internet

As vulnerabilidades que os nossos equipamentos apresentam podem tornar-nos expostos e deixar todos os nossos dados na mesma situação.
Foi precisamente isso que agora se veio a verificar, depois de ter sido explorada uma vulnerabilidade que tem 8 meses e que ainda não tinha sido devidamente tratada.
Um vasto conjunto modelos de routers da Asus está vulnerável e essa falha foi explorada por um grupo de hackers.
asus_0

notícia surgiu através de um email de um leitor do site Ars Technica, que deu conta ter sido colocado um simples ficheiro de texto num disco externo seu, que estava ligado ao seu router Asus.
Esta vulnerabilidade permite que todas as drives externas que estejam ligadas a estes equipamentos esteja expostos a uma falha no equipamento de rede e que dá acesso total a estes discos.
A falha, que na verdade é composta por duas quebras de segurança, foi descoberta há cerca de oito meses pelo investigador Kyle Lovett. Antes de tornar o problema público, Kyle Lovett contactou por duas vezes a Asus e não conseguiu que o problema fosse assumido pelo fabricante.
As duas componentes que permitem aos atacantes terem acesso aos discos ligados aos routers são de alguma forma simples de explorar e assentam na possibilidade de acesso anónimo ao ftp-server do router e no facto de os dados de acesso ao serviço AiCloud estarem guardados em formato de texto, não cifrado, e acessíveis sem que seja necessário fazer autenticação no router.
Os modelos que estão identificados com este problema são os seguintes:
  • RT-AC66R,
  • RT-AC66U,
  • RT-N66R,
  • RT-N66U,
  • RT-AC56U,
  • RT-N56R,
  • RT-N56U,
  • RT-N14U,
  • RT-N16,
  • RT-N16R
No que foi descrito pelo leitor da Ars Technica, o serviço AiCloud, que dá acesso aos utilizadores ao conteúdo dos discos remotamente e supostamente com autenticação, nunca foi activado e estava disponível de forma transparente desde que este foi ligado.
Os atacantes foram bastante simpáticos e apenas colocaram um ficheiro num dos discos a reportar o problema, não tendo eliminado ou alterado qualquer outro ficheiro. A intenção é apenas alertar os utilizadores para o problema.
asus_2
Este “ataque” vem no seguimento da publicação de mais de 13.000 endereços IP onde estes equipamentos vulneráveis estariam disponíveis. Foi também publicada uma lista extensa de documentos e outros ficheiros retirados de equipamentos vulneráveis.
asus_3
A Asus já tratou de resolver este problema na passada semana, mas o problema está na disseminação da actualização e a sua aplicação. Por norma os utilizadores não se preocupam com estas constantes e necessárias actualizações.
Mesmo com a actualização, o problema está no facto de os routers estarem configurados para permitirem o acesso via AiCloud e não haver informação precisa do seu estado de activação na interface de configuração.
Caso o seu router seja um dos modelos apresentados na lista acima, recomenda-se a imediata actualização para a mais recente versão do firmware. Estas versões actualizadas podem ser encontradas no site da Asus ou no site Softpedia.