Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Optus libera nuevo parche para sus routers
La falla existe en el módem CG3000v2, donde se podía dejar en blanco el campo de la contraseña actual para cambiarla por una contraseña de su elección. El parche que soluciona este problema se liberó en menos de tres semanas.La Universidad Tecnologíca Paul Szabo de Sídney dice que los atacantes podrían utilizar CSRF en conjunto con elances de phishing para la falsificación de peticiónes y así cambiar las contraseñas de las víctimas.
"El fallo afecta a la contraseña de administrador que se puede cambiar usando la interfaz web sin proporcionar la contraseña actual", dijo Szabo Buitre del Sur el mes pasado.
"La página de http://192.168.0.1/SetPassword.asp solicita la vieja y la nueva contraseña (y su confirmación), pero hace caso omiso de la antigua contraseña proporcionada y cambia la contraseña a la nueva. Este problema podría ser explotado a través de CSRF para cambiar la contraseña mientras el usuario se encuentre conectado."
Optus comenzó a investigar la falla y consultó al proveedor NetGear para llegar a un arreglo.
Szabo dice que la empresa de telecomunicaciones brindó una solución a su router, que soluciona la falla.
Szabo dice que la empresa de telecomunicaciones brindó una solución a su router, que soluciona la falla.
"Optus desarrolló un nuevo firmware y lo instaló en mi módem, y que resuelve el problema que se informó", dice Szabo. La versión del firmware del router es V2.08.05.
La vulnerabilidad podría sin embargo ser considerada excesiva; la mayoría de los usuarios no se molestan en cambiar las contraseñas predeterminadas. A su vez, el manual [PDF] no le dice a los usuarios que cambien sus credenciales de inicio de sesión.
