Routers Asus expuestos por falló de programación del firmware ASUSWRT

David LONGENEKER ha encontrado un error grave en la programación del firmware ASUSWRT
[list=*]
]ASUS Router Administrative Interface Exposure/]
[/list]
Es el firmware genérico que emplea el fabricante en todos los routers que llevan “RT” en el nombre de su modelo.
La brecha esta presente en las ultimas versiones del firmware.
Los modelos afectados no son viejos cacharros en fin de ciclo : La vulnerabilidad afecta a los mejores modelos desarrollados por Asus.
Ejemplohttps://www.wifi-libre.com/img/members/3/ASUSWRT_1.jpg

[h]Interfaz de configuración accesible desde la web[/h]

El usuario que quiere impedir el acceso a la interfaz de configuración tiene una opción dedicada que puede habilitar o deshabilitar

Enable Web Access from WAN: No

Haciendo así no se debería poder acceder a la interfaz de configuración desde la web.

Desgraciadamente el acceso quedará abierto si no habilita también el firewall

Enable Firewall: Yes

Si el firewall no esta habilitado, su configuración “nula” se “come” la configuración del opción para deshabilitar el acceso.
Ninguna advertencia o mensaje de explicación advierte de esta jerarquía /relación entre estas dos opciones muy distintas.
Es obviamente un “error de concepto” ( design flow )

[h]Por lo menos 137000 routers expuestos[/h]

Gracias al motor Shodan David LONGENEKER ha encontrado 122,000 routers ASUS que tienen su interfaz de configuración accesible desde cualquier punto del globo mediante puerto 80 (http) y 15000 modelos accesibles por htpps
Si los credenciales para acceder a la configuración del router son los por defecto o son débiles es “game over”
Si los credenciales son fuertes los routers quedan expuestos a un eventual brute force o al uso de otro exploit que no necesita los credenciales (o los obtiene)
Un fallo grave y serio presente incluso en la ultima versión del firmware ASUSWRT ( versión 3.0.0.378.9460 publicada el 29 de diciembre 2015 )

Esta brecha de seguridad debería ser arreglada próximamente (el autor ha podido probar una versión beta que no tiene aún este falló)
Hasta que se publique oficialmente esta versión se debe ser muy atentos a deshabilitar el acceso Web **y ** habilitar el firewall para no tener su interfaz expuesta a los cuatro vientos. :wink: