La vulnerabilidad reportada el 9 de diciembre del 2019 e identificada bajo el ID CVE 2019-19639 está asociada a la falta de protección contra falsificación de peticiones en sitios cruzados (del inglés ‘Cross-Site Request Forgery’ o CSRF) en los routers CenturyLink, además el grupo de seguridad Lykosec encontró que también era posible realizar peticiones sin autentificarse
Dado que no se comprueban credenciales se torna considerablemente sencillo comprometer el dispositivo, sólo es necesario saber la ruta y los parámetros a enviar al router para tomar el control. Una de ellas, ‘/advancedsetup_admin.cgi’ con el parámetro ‘adminPwState=0’ como un formulario por ‘POST’ permite deshabilitar la contraseña del administrador, facilitando tomar el control del router.
Debido a su fácil explotación, el ataque podría realizarse de diferentes maneras, entre estas tenemos:
- Conexión a la red por WIFI
- Mediante administración del router expuesta a internet
- Ingeniería social, mediante un usuario de la red que envíe la petición del formulario aprovechando que no hay protección CSRF.
La vulnerabilidad ha sido comprobada en el router Centurylink C3000A (también bajo la marca Actiontec), aunque lo más probable es que haya bastantes más modelos afectados, dado que comparten el mismo software.
A pesar de que el 27 de febrero del 2020, el fabricante aseguraba estar probando una versión interna parcheada, no se tuvo más novedades al respecto, hasta el pasado 5 de mayo en que la vulnerabilidad se publicó, sin existir una versión que solucione el fallo.
Debido a la gravedad de la vulnerabilidad, se recomienda actualizar tan pronto como exista una versión que solucione el fallo.
Para mayor información:
- https://unaaldia.hispasec.com/2020/05/vulnerabilidad-sin-parchear-permite-secuestrar-routers-centurylink.html
- https://www.lykosec.com/post/cve-2019-19639-hijacking-centurylink-routers