Publicado el 29 de enero de 2019
Sorprendentemente, el servicio más común que encontramos en nuestros análisis en Censys es CPE WAN Management Protocol (CWMP), un protocolo del que mucha gente nunca ha oído hablar. CWMP, también conocido como TR-069, se ejecuta en el puerto TCP 7547 utilizando HTTP como protocolo de capa de aplicación, lo que permite a los proveedores de servicios de Internet configurar de forma remota los equipos de las instalaciones del cliente (CPE), como los módems por cable y los routers domésticos. Como era de esperar, se encuentra sobre todo en redes de banda ancha de todo el mundo. En total, hay más de 20 millones de dispositivos, aunque no todos sean módems, sino también en algunos lugares sorprendentes como impresoras, cámaras e incluso un único y solitario panel solar.
Esto no es nuevo, como revela este artículo de SANS de 2016, pero lo que sorprende es la continua exposición de CWMP a Internet a pesar de estos problemas conocidos. Lo que podríamos haber esperado es el aumento de los niveles de filtrado de los ISP en la frontera de la red para el tráfico de CWMP.
Como CWMP es uno de los protocolos más comunes en Internet, empezamos a pensar en la seguridad del protocolo y en qué tipo de riesgos plantea. Además, ¿existen riesgos reales para el mundo empresarial o se trata sólo de un problema de tecnología de consumo?
¿Qué riesgos de seguridad son inherentes al CWMP?
El poder administrativo que otorga CWMP es la principal razón por la que es un riesgo para la seguridad y un objetivo codiciado. Por su diseño, permite al ISP configurar ajustes de red como los servidores DNS, pero las implementaciones inseguras pueden permitir a los atacantes descargar y ejecutar software arbitrario. Aunque CWMP se diseñó partiendo de la base de que sólo sería posible establecer conexiones desde fuentes de confianza, una configuración errónea a gran escala significa que los ISP a menudo ponen en peligro, sin darse cuenta, las redes de sus clientes. Internet en general es entonces susceptible de sufrir ataques de denegación de servicio, operaciones de spam y tácticas similares cuando se instala software de ataque en las redes de los clientes.
El protocolo CWMP se ha utilizado en ataques a routers domésticos, con la ayuda de la red de bots Mirai y el fallo "The Misfortune Cookie". Aunque los ataques no se debieron a ninguna vulnerabilidad en el propio protocolo CWMP, los atacantes pudieron aprovecharse de errores de configuración e implementación de CWMP y de versiones antiguas y obsoletas. El protocolo original utiliza un servicio basado en HTTP para la gestión remota, que es vulnerable e intrínsecamente inseguro. Por desgracia, la solución no era tan sencilla como cerrar el puerto, lo que podría causar más problemas, pero se animó a los usuarios a actualizar sus módems.
¿Qué se puede hacer ante un Protocolo CWMP vulnerable?
La "solución" a estos problemas es instalar actualizaciones de firmware, que la mayoría de los fabricantes de módems ya han distribuido. TR-069 issue 2 ha añadido "seguridad mejorada del dispositivo" y debería convertirse en la norma para los usuarios domésticos.
Por supuesto, la pregunta que queda es ¿cuántos consumidores son conscientes de estas debilidades y reinician sus módems domésticos, y mucho menos instalan actualizaciones de firmware? [inserte un suspiro colectivo]
Encontrar CWMP con Censys
Para los profesionales de la seguridad, recomendaríamos un escaneo de Internet para localizar el protocolo CWMP para localizar cualquiera que pudiera estar asociado con su empresa. Lo más probable es que se trate de empleados que trabajan de forma remota y rodean su VPN, felizmente inconscientes de que están utilizando un módem doméstico vulnerable. Déles caza y restrinja el acceso a los activos y la red de su empresa; a continuación, enseñe a sus empleados cómo utilizar la VPN y que es la única forma de acceder a sus aplicaciones de trabajo. Si quieres ir un paso más allá (y aguantar posibles miradas de reojo), sugiéreles que reinicien el módem e instalen las actualizaciones.
Resultados e informes interesantes para los investigadores
Sugerimos empezar con los informes de Censys sobre el protocolo CWMP para analizar las tendencias en Internet. A continuación se ofrecen algunos ejemplos:
- Como CWMP utiliza HTTP como protocolo de transporte de la capa de aplicación, se puede echar un vistazo al software del lado del servidor.Un rápido vistazo a ese informe muestra que domina el paquete de código abierto gSOAP versión 2.7, lo que es especialmente preocupante. En julio de este año, Brian Krebs escribió sobre una vulnerabilidad en gSOAP quepermitía a los atacantes "forzar a un dispositivo vulnerable a ejecutar código malicioso, bloquear al propietario para que no pudiera ver ninguna grabación de vídeo o bloquear el sistema". Y añadía: "Básicamente, un montón de cosas que no quieres que haga tu caro sistema de cámaras de seguridad". Este es sólo el resultado principal, ¡dejaremos que nuestros lectores sigan explorando!
- Los 25 países con mayor informe sobre el protocolo CWMP
- Los 25 productos que más utilizan el informe CWMP
Por cierto, ¿te hemos hablado ya de nuestros informes? El generador de informes puede ser una herramienta muy potente para quienes buscan anomalías de seguridad. Con él, puedes localizar rápidamente cualquier rareza (dispositivos IoT, etc.) y utilizar esas pistas para profundizar con nuestras consultas de búsqueda más refinadas. Para utilizarlos, haga clic en la pestaña Informe de la página de resultados de búsqueda (véase la imagen anterior) después de ejecutar una consulta. El generador de informes suele ser un buen punto de partida para empezar a buscar, filtrar los host inesperados y empezar a priorizar lo que hay que abordar primero.
Próximamente le daremos más consejos sobre riesgos de seguridad potenciales e interesantes a los que debe prestar atención y proteger adecuadamente.
