ROM-0: Vulnerabilidad en enrutadores ZTE, TP-Link y otros

La vulnerabilidad ROM-0 (también llamada ataque ROM-0), reportada en el 2014 en algunos modelos de enrutadores, es considerada una vulnerabilidad crítica y  permite que la interfaz web de administración de los dispositivos afectados sea accedida desde cualquier punto en Internet sin requerir autorización.

Como consecuencia los atacantes pueden  descargar el archivo de configuración del enrutador (de nombre rom-0) y, a través de un proceso simple de ingeniería inversa, decodificar los datos de configuración del dispositivo que incluyen el  usuario y la contraseña de administración.

El atacante, al conocer las credenciales del router, puede cambiar su configuración y redireccionar el tráfico de la red que lo utiliza mediante el cambio de la configuración del DNS, y  exponer la red local atacada.

Los modelos de los dispositivos, reportados internacionalmente como vulnerables, algunos de los cuales están presentes en nuestras redes, son:

  • TP-Link TD-W8901G
  • TP-Link TD-8816
  • TP-Link TD-W8951ND
  • TP-Link TD-W8961ND
  • TP-Link TD-8817
  • TP-Link TD-8840T
  • D-Link DSL-2640R
  • AirLive WT-2000ARM
  • Pentagram Cerberus P 6331-42
  • ZTE ZXV10 W300
  • Huawei 520 HG
  • Huawei 530 TRA
  • ZyXEL ES-2024
  • ZyXEL Prestige P-2602HW
  • ZynOS

Para solucionar o mitigar esta vulnerabilidad se recomienda:

  • La actualización del firmware que solucione la vulnerabilidad, para los dispositivos que lo tengan disponible.
  • Configurar las Listas de Control de Acceso (ACL) para que el equipo pueda ser accedido sólo desde las direcciones electrónicas que correspondan.
  • No utilizar el Servicio de DNS incluido en los enrutadores vulnerables. Implementar este servicio en la propia red interna o consumirlo desde un proveedor de servicios externo confiable.
Español