Una grave vulnerabilidad que afecta a varios modelos de routers Movistar permite acceder a su panel de control

Según un rumor que está empezando a difundirse por foros especializados en seguridad informática, y que ha confirmado la compañía al afirmar que lo están investigando, algunos modelos de routers que instala Movistar a sus clientes están afectados por un grave fallo de seguridad que permite a cualquier usuario acceder al panel de control del dispositivo y cambiar los ajustes a su antojo. Por ejemplo, podría modificar las DNS con las que el usuario navega y redirigir las peticiones hacia sitios webs maliciosos.

¿En qué consiste este fallo? Muy sencillo: accediendo a la dirección ip_publica/password.cgi (siendo ip_pública la dirección IP del dispositivo), se nos devuelve en un fichero de texto plano los datos de sesión para acceder a la administración del router. Con el nombre de usuario y la contraseña, y pudiendo acceder desde Internet, cualquiera puede entrar a nuestro panel de control.

Los modelos que se consideran afectados son, por el momento, los siguientes:

  • Comtrend (CT-5072, CT-5372, CT-5367 y WAP-5813n)
  • DLINK (DSL-500B y DSL-500B II)
  • Ovislink
  • Pikatel (Airmax 101)
  • TP-Link (TD-W8920G, TD-W8950ND y TD-W8900G)
  • ZTE (ZXV10 W300)
  • Zyxel (P-870HW-51A V2)

En principio, tan sólo algunos routers de Movistar están afectados, aunque no se descarta que otras operadoras que instalen los mismos modelos a sus clientes también tengan los mismos problemas. Para salir de dudas, es cuestión de intentar acceder siguiendo los pasos que hemos detallado anteriormente y ver si nuestro dispositivo sufre el mismo fallo.

Lo peor de todo es que el rumor ha parecido confirmarse después de que Telefónica haya informado de que están investigando el asunto y ya han contactado con los fabricantes. La solución temporal a este fallo pasa por deshabilitar el acceso al router desde cualquier dirección ajena a la red local de éste, desactivando todos los servicios de la columna WAN en la sección Internet del dispositivo o similar.

Vía | Redes Zone En Xataka ON | Un usuario enfadado con Movistar aprovecha un agujero de seguridad XSS en la web de la operadora para protestar

Portada de Xataka Móvil