Detectadas varias vulnerabilidades en el Linksys X3000

Escrito por Rubén Velasco
Routers
5

En los pasados días han sido detectados varios fallos de seguridad en el router Linksys X3000 de Cisco. Estos fallos han sido detectados por el investigador Michael Messner.

Las principales vulnerabilidades encontradas han sido de cross-site scripting, permiso para ejecutar código remoto a través de inyección de comandos y también nos permitiría cambiar la contraseña actual sin preguntar la actual ni confirmarla.

La inyección de comandos es posible gracias a la ausencia de validación en el contenido suministrado por el usuario en los parámetros ping_ip y add_account_password.  Tampoco existe verificación en la validación de los parámetros ping_ip de la página Diagnostics.asp, sortby de la página DHCPTable.asp y submit_button dela página WanMAC.asp.

El fallo de cambio de contraseña permite a un atacante remoto cambiar la contraseña del router sin necesidad de conocerla. En caso de que esto ocurra debemos hacer un hard-reset al router para volver a la configuración por defecto mediante el botón trasero.

Estas vulnerabilidades se encuentran activas por el momento en el firmware 1.0.04 e inferiores. El firmware 1.0.05 lanzado a finales de abril de 2013 soluciona dichos fallos como podemos leer en las notas de versión.

Si disponemos de un router Linksys X3000 es más que recomendable actualizar a la última versión disponible del router ya que mejora la estabilidad a la vez que soluciona los fallos mencionados anteriormente. Podemos descargar la actualización desde la página web de Cisco.

Actualizar Cisco Linksys X3000

Actualizar el Cisco Linksys X3000 es sencillo, en primer lugar debemos acceder a su interfaz a través del navegador en nuestro caso con la IP 192.168.1.1.

Una vez dentro debemos abrir el menú Administración > Actualización de firmware

x3000_update_foto_1

Pulsaremos sobre el botón “Seleccionar archivo” y cargaremos el firmware que nos hemos descargado con anterioridad desde la web de Cisco. Una vez añadido pulsamos sobre el botón “Iniciar actualización”.

x3000_update_foto_2

Una vez finalizada la actualización el router se reiniciará y ya estará actualizado y sin los bugs citados anteriormente. Es recomendable que después de la actualización hagamos un RESET al router para borrar todos los parámetros.


Continúa leyendo
  • Josemanu

    La versión que hay de descarga es la 1.0.05, pero al actualizar sigue apareciendo la 1.0.04

    • Brainiac

      A mi me aparece bien y actualizado.

      Saludos.

  • Qué problema te da exactamente? has probado con otro navegador? Vete a cmd.exe y haces un ipconfig para saber la subred, tal vez no es 192.168.1.1 (valores por defecto).

    No es necesario hacer un reset…eso lo puedes hacer después de actualizar el firmware.

    • Manuel Adsuar Serna

      Hola, he probado con otro navegador y he podido acceder y actualizar firmware. Gracias.

  • Brainiac

    Yo entro con el Cisco Connect. Me abre directamente una ventana en el navegador por defecto.

    Saludos!