El grave fallo de seguridad del famoso router de Orange Livebox

Estás harto de ver en los hogares los modems Orange Livebox, con los que el operador comercializa en España el ADSL y fibra. El problema es que ahora se acaba de descubrir que dichos routers tienen un fallo de seguridad muy grande, que afecta a 19.500 unidades en nuestro país.

Un investigador de seguridad descubrió este fin de semana el nuevo «bug» con el que a Orange se le ha atragantado la Navidad. Y es que dichos routers, en concreto el modelo LIVEBOX ARV7519RW22-A-LT VR9 1.2 de Arcadyan, no son ciberseguros porque exponen información del usuario, como la contraseña y el SSID, es decir, nombre de la red inalámbrica del router.

La vulnerabilidad encontrada (CVE-2018-20377, analizada ya por el Instituto Nacional de Estándares y Tecnología) puede ser aprovechada por un ciberdelincuente, que sin esfuerzo alguno, puede obtener la clave contraseña y el SSID de la red interna. A efectos prácticos, un cibercriminal puede llegar a suplantar la identidad del usuario, ya que tiene el control total del dispositivo, incluidos datos sensibles como el número de teléfono, o difundir «malware» en la Red. Incluso si el router está instalado en un hogar inteligente, puede deshabilitar el sistema de seguridad de la casa. En el caso de las empresas es aún peor: toda la tecnología interna de la compañía peligra.

La mayoría de los modems afectados con este error de seguridad se encuentran en la red de Orange en España. De momento, los atacantes tienen acceso libre a la red del operador y, aunque la empresa ya ha comunicado que es consciente del problema, que se reportó en 2012 por primera vez, de momento no hay solución alguna.

Thanks for the notification. We’re handling your case.— Orange-CERT-CC (@OrangeCertCC)

23 de diciembre de 2018Siempre es conveniente, por razones de seguridad, que los usuarios, a la hora de configurar su Red, cambien los credenciales de origen por otras contraseñas robustas. Sin embargo, en este caso no sirve de nada, porque el «bug» de Orange permite que cualquier ciberdelincuente se haga con las claves de acceso sin problema.

Según informa Troy Mursch, el investigador de seguridad que ha denunciado el caso, Orange ha lanzado una actualización del firmware para solucionar el error pero solo para la versión 00.96.00.96.613E. Las versiones que siguen siendo vulnerables son: 00.96.00.96.613, 00.96.00.96.609ES, 00.96.321S y 00.96.217.