Vulnerabilidades en módems de Arnet Wi-Fi

Los usuarios de este servicio pueden ser objeto de ataques informáticos, incluido el acceso a información sensible. Según la empresa de seguridad informática Core Security Technologies, quien anunció el descubrimiento de vulnerabilidades, pueden afectar a los usuarios que utilicen algunos módems provistos por Arnet-WiFi para su servicio de Internet.

La ejecución exitosa de un ataque sólo requiere que el usuario vulnerable haga clic en un link aparentemente inocuo o que visite un sitio web controlado total o parcialmente por el atacante.  A través del ataque, es posible obtener las credenciales de acceso de los usuarios vulnerables, administrar remotamente los dispositivos y obtener información confidencial de los clientes del servicio. Además, esto facilitaría y dejaría expuestos a ataques directos a los equipos de los usuarios.

Los módems ADSL con soporte para redes inalámbricas 802.11 (WiFi) instalados por Arnet tiene una configuración insegura por defecto. Se utiliza el nombre “Arnet WiFi” como identificador de servicio inalámbrico y “ARNET” como clave fija en todas las instalaciones lo que resulta sumamente peligroso para la seguridad informática de los usuarios.  También se ha observado que la aplicación web de configuración del modem ADSL no requiere autenticación.  Por último, las páginas de configuración básica y avanzada tienen una vulnerabilidad de “cross-site scripting”. 

Las vulnerabilidades fueron descubiertas por Andrés Blanco, investigador y desarrollador del equipo de la empresa. Las versiones afectadas son los equipos Pirelli DRG A125G provistos a clientes de Arnet Wifi.

Recomendaciones

Es recomendable aplicar los siguientes cambios a la configuración del módem ADSL-WiFi para reducir el riesgo a ataques que exploten las vulnerabilidades descritas en este documento: 
  • Cambiar el nombre de la red inalámbrica (SSID)
  • En Opciones Avanzadas-Seguridad WiFi cambiar el método de autenticación a WPA2-PSK
  • En Opciones Avanzadas-Seguridad WiFi cambiar el método de encriptación a PSK:AES
  • Deshabilitar la transmisión de SSID marcando la casilla: Ocultar el nombre de la red inalámbrica (SSID)
  • En la interfaz de configuración avanzada del modem (http:/10.0.0.2/admin.html), cambiar la dirección IP interna del modem de 10.0.0.2 a cualquier dirección aleatoria en el rango 10.0.0.1-10.255.255.254 y cambiar la máscara de red a 255.0.0.0. Este cambio hará que la interfaz web de configuración del modem pase a estar accesible en una dirección IP distinta de la configurada por defecto por Telecom Argentina. El usuario deberá recordar la nueva dirección IP que eligió para poder realizar cualquier otra tarea de configuración del modem.  

 Para mayor información sobre este Advisory, con el detalle técnico de las vulnerabilidades, visita http://www.coresecurity.com/content/vulnerabilidades-arnet-wifi
Las marcas Arnet y Telecom Argentina son marcas protegidas y ajenas a Core Security Technologies. 

Comentarios

Publicar un comentario

¿Qué opinas sobre este tema?

Entradas más populares de este blog

Kindle no le teme al iPad

Imagen
La última versión de Kindle hizo récord de ventas y superó al 7º libro “Harry Potter y las Reliquias de la Muerte.  El pico de ventas se registró el 29 de noviembre, con 13.7 millones de unidades ordenadas en todo el mundo, es decir, 158  e-books  comprados por segundo.
Leer más

A Facebook el desodorante lo abandonó

Imagen
Según publica el Financial Times , la red social habría contratado a un ex funcionario de la Administración de George Bush(h) en Washington para defender sus prácticas de privacidad, ya que se enfrenta a un creciente escrutinio en el Capitolio y la agencia federal de reglamentación encargadas de la protección del consumidor. Tim Muris, el ex presidente republicano de la Comisión Federal de Comercio (FTC, por sus siglas en inglés), que ahora sirve como un abogado en el bufete O'Melveny & Myers, se alistó en un momento en que la FTC está teniendo una mirada cercana a las quejas contra la compañía de redes sociales de Internet que han sido presentadas por defensores de la privacidad, de acuerdo a personas familiarizadas con el asunto. Como Facebook crece de manera más influyentes en la vida de sus usuarios, los gobiernos de todo el mundo se enfrentan a preguntas de sí - y cómo - regular el fenómeno de Internet. Y Facebook está respondiendo ante esto. Cuando la compañía comenzó e
Leer más

Kin and Kin, el 2x1 de Microsoft

Imagen
Uno de los líderes de la NBA IT devela el gran misterio y lanza dos versiones de teléfonos celulares orientados para la navegación social. Los celulares KIN estarán disponibles exclusivamente en Verizon Wireless en mayo para EE.UU y a través de Vodafone en Alemania, Italia, España y el Reino Unido.  Pero Microsoft no fue el único participante, sino que se apoyó en Verizon Wireless, Vodafone y Sharp Corporation para diseñar el KIN ONE y el KIN TWO. Ambos permitirán -según explica la empresa- maximizar la experiencia social que combina telefonía, servicios en línea y PC con aplicaciones como Spot (centrado en la información a compartir en vez de la plataforma) y Studio (permite que todo lo que crea en el teléfono esté disponible en la nube desde cualquier navegador Web). Los KIN tienen una interfaz sencilla para publicar en redes sociales, disponen de una pantalla táctil y teclado deslizante. ONE es pequeño y compacto, con cámara de 5MP. DOS tiene una pantalla y teclado más grande, ade
Leer más