Orange Liveboxes tienen una importante falla de seguridad, revela una investigación. Gracias a esta falla, un pirata informático puede recuperar fácilmente la contraseña de Wi-Fi del módem e implementar un ataque en todos sus dispositivos. Los modelos afectados se encuentran en España y España. El titular rápidamente decidió iniciar una investigación.
Según una investigación realizada por el experto en seguridad de Bad Packets Report, Troy Mursch, la contraseña de 19 cajas vivas filtrado sin cifrado en la web. 2 dispositivos siguen siendo vulnerables a un ataque informático a gran escala, advierte el informe.
Identificada una grave falla de seguridad en Liveboxes, Orange inicia una investigación
Según Troy Mursch, el hacker detrás de este ataque aprovechó una falla de seguridad que data de 2012 (CVE-2018-20377). Gracias a ella logró recuperar contraseña remotamente SSID y Wi-Fi de las cajas objetivo. La mayoría de los dispositivos afectados habían mantenido la misma contraseña Wi-Fi que la original. Como siempre, le recomendamos que cambie esta contraseña lo antes posible.
Lea también: Livebox, Box SFR: ¡una gran falla les permite descifrar su clave WiFi en segundos!
Una vez que ha recuperado la contraseña, el atacante puede potencialmente usarla para lanzar un ataque a todos los dispositivos conectados a la red Wi-Fi : altavoces conectados, smartphones, Smart TV u ordenadores. “También puede obtener el número de teléfono vinculado al módem”, estima el experto.
El autor del atentado reside en España, asegura el informe. Asimismo, la mayoría de los módems afectados se encuentran en la Península Ibérica, cerca de la posición estimada del hacker. Algunos Livebox españoles también se ven afectados.
Nada más ser descubiertos, los equipos de Bad Packets alertaron a Orange CERT, “la estructura operativa responsable de gestionar los incidentes de seguridad informática que pudieran impactar en las actividades del Grupo”. En Twitter, el operador aseguró rápidamente que se acababa de iniciar una investigación.
Gracias por la notificación. Estamos manejando su caso.
— Orange-CERT-CC (@OrangeCertCC) 23 de diciembre de 2018