Recientemente, un investigador de seguridad ha revelado una vulnerabilidad crítica en el enrutador Motorola MR2600, que permite la ejecución remota de código sin necesidad de autenticación. Esta brecha de seguridad puede ser explotada tanto por actores malintencionados dentro de la red local como, en algunos casos, de manera remota si el acceso a la gestión remota está habilitado.
El hallazgo comenzó con la búsqueda del firmware del dispositivo, que Motorola distribuye principalmente a través de actualizaciones over-the-air. Sin embargo, el MR2600 es una excepción, ya que permite acceder a su firmware actual, la versión 1.0.22, lanzada a mediados de 2024. Una vez obtenido, el investigador realizó un análisis de su sistema de scripts CGI y manejadores SOAP, descubrando un proceso de actualización que, aunque debería requerir autenticación, no lo hacía.
Análisis del Firmware y Vulnerabilidad
El proceso de carga de firmware se realiza en un endpoint específico, donde los desarrolladores implementaron un mecanismo de validación de archivos que fallaba por un error de programación. Al no extraer adecuadamente los datos del formulario multipart, permitía a un atacante cargar firmware malicioso al enrutador.
Una vez que el firmware era subido, el enrutador ejecutaba una validación de la imagen, sin que la autenticación se llevara a cabo antes de guardar el archivo. Esto significa que un atacante podría cargar un firmware dañino simplemente enviando una solicitud maliciosa sin necesidad de autenticarse.
El segundo paso del proceso implica la ejecución de una solicitud para validar y flashear el firmware. Aquí también se encontró un defecto: la validación de autenticación permitía eludir los controles si una guía de URI no coincidía exactamente según la implementación del código.
Explotabilidad y Riesgos
La evidencia sugiere que cualquier persona dentro de la red local puede explotar esta vulnerabilidad. Sin embargo, el investigador también encontró que, si la gestión remota está habilitada, la vulnerabilidad podría ser activada desde el exterior. Actualmente, existen 41 routers MR2600 visibles en internet con la gestión remota activa, exponiendo estos dispositivos a un riesgo considerable.
Históricamente, el MR2600 no es nuevo en términos de problemas de seguridad. La compañía Exodus Intelligence identificó previamente vulnerabilidades similares, incluyendo fallos de inyección de comandos y otros problemas de autenticación que se podrían combinar para llevar a cabo ataques significativos.
Situación Actual y Futuras Implicaciones
A pesar de la gravedad de la situación, la respuesta de Motorola ha sido poco efectiva. Tras intentar notificar tanto a Motorola Mobility como a Motorola Solutions, el investigador fue informado de que el enrutador era considerado de “fin de vida útil” y que la actualización automática estaba inactiva, lo que dificulta la corrección del problema. Al final, decidió proceder a la divulgación pública de las vulnerabilidades, ante la falta de interés o acción por parte de la empresa.
Este caso pone de manifiesto la importancia de que los fabricantes de hardware mantengan un ciclo de vida activo para asegurar sus productos, especialmente considerando la creciente dependencia de los dispositivos de red en la vida diaria y la vulnerabilidad a los ciberataques. La comunidad de ciberseguridad debe estar atenta a las lecciones que surgen de incidentes como este, que resaltan la necesidad de implementar medidas de seguridad robustas y procesos de respuesta rápida ante vulnerabilidades detectadas.
