La vulnerabilidad descubierta, explotable con la configuración por defecto del router, permite el acceso al panel de administración sin disponer de credenciales.

El investigador de seguridad Chris Bellows de Atredis ha descubierto una vulnerabilidad en el mecanismo de autenticación del router GT-AC2900 de Asus, la cual afecta a la comprobación de la cookie de sesión. Este modelo pertenece a la serie ‘gaming’ de Asus, por lo que cuenta con funcionalidades avanzadas como puede ser el acceso remoto a través de IFTTT. Es en este componente, junto con el de la autenticación por sesión, donde reside la vulnerabilidad.

La vulnerabilidad, identificada como CVE-2021-32030, para su explotación aprovecha un fallo en la comprobación de la sesión cuando se emplea el carácter nulo (‘’) al comienzo de la sesión, lo cual provoca que se pase a la siguiente forma de autenticación posible, siendo esta el token de IFTTT. Al usar un carácter nulo se comprueba la parte de la izquierda de la cadena, que al estar vacía al estar al comienzo del valor, valida ante el token por defecto en el router para IFTTT, que es también una cadena vacía.

En resumen, un atacante para la explotación sólo requiere cumplir las siguientes condiciones:

  1. Usar el carácter nulo al comienzo de la cookie de sesión ‘asus_token’, como por ejemplo ‘asus_token=Invalid’.
  2. Emplear un ‘User-Agent’ de tipo interno, como puede ser ‘asusrouter–‘.
  3. No haber establecido un token ‘ifttt_token’ para la administración usando IFTT. Por defecto no hay ningún token definido.

La vulnerabilidad ha sido encontrada en parte gracias a que Asus publica el código fuente de sus routers bajo la licencia GPL, lo que facilita a investigadores externos encontrar fallos para su reporte. Aunque podría haberse empleado otras técnicas para auditar el firmware, su liberación como software libre facilitó su revisión.

En caso de disponer de este router, recomendamos actualizar lo antes posible a la versión 3.0.0.4.386.42643 o posterior, en la cual se soluciona este fallo. Otra forma de mitigar la vulnerabilidad es configurar un token de IFTTT, en cuyo caso no podría lograrse la explotación.

Más información:

CVE-2021-32030: Salto de autenticación en ASUS GT-AC2900:
https://www.atredis.com/blog/2021/4/30/asus-authentication-bypass

La entrada Salto de autenticación en los routers Asus GT-AC2900 se publicó primero en Una al Día.