El fallo afecta a los routers Super Hub 3 de Virgin Media, permitiendo obtener del router la IP pública en segundos y sin requerir ningún tipo de autenticación, exponiendo a sus usuarios protegidos con VPN.

El equipo de seguridad Fidus ha revelado una vulnerabilidad en el modelo de router ARRIS TG2492, utilizado por varias compañías de Internet en el mundo como la británica Virgin Media o la vasca Telecable. Aunque sólo se ha verificado con este modelo de router, podría haber más afectados del mismo fabricante. El fallo permitiría a un atacante conocer la dirección IP del usuario a pesar de estar utilizando medidas para anonimizar su dirección como pueden ser proxies o una VPN.

Para la explotación tan solo se requiere acceder vía HTTP al router y realizar una serie de peticiones que no requieren autenticación para revelar la dirección IP pública. Aunque no se requieren credenciales, la IP obtenida se encuentra ofuscada, aunque es fácil de revelar gracias a la información revelada por el propio router. Sin medidas de seguridad adicionales como CORS, un atacante puede realizar peticiones vía javascript a la IP del router desde otro sitio web para revelar la dirección.

La vulnerabilidad, identificada como CVE-2019-16651, sigue siendo explotable a día de hoy, al no haber recibido respuesta de Virgin/Liberty Global desde octubre de 2019. El equipo de seguridad ha intentado contactar con Virgin hasta en 9 ocasiones para pedir una solución. Otros operadores como Telecable podrían haber solucionado el fallo o no ser vulnerables al utilizar un firmware modificado, aunque no ha podido confirmarse.

El sitio web de Fidus ha revelado un vídeo con una demostración de la explotación, aunque todavía no ha hecho pública la prueba de concepto. Como medidas para mitigar la vulnerabilidad se encontrarían bloquear el acceso HTTP al router desde los clientes o desactivar el Javascript de los sitios web, medida ya recomendada al navegar utilizando medios de anonimización como Tor.

Créditos: Juan José Oyagüe