El asunto es que he leído esto:

Es decir, el fallo de seguridad tiene cinco meses sin solución, un periodo bastante prolongado en el que la seguridad de muchas personas ha quedado comprometida. A pesar de que el router HG de Movistar ha recibido varias actualizaciones desde aquel entonces, ninguna ha solventando el problema.

El equipo de seguridad de Movistar señala que se encuentra investigando el caso y pronto ofrecerán más información. Al tratarse de una vulnerabilidad grave en su router, lo más adecuado sería que proporcionen una actualización de software lo más rápido posible. Eso sí, al haber pasado tanto tiempo desde el descubrimiento del fallo, no se descarta que algunos atacantes hayan aprovechado el agujero con ayuda del phishing.

Y es necesario tomar las medidas oportunas.

Buenas @juancar2018 

No te dejes llevar por el alarmismo y poco rigor de algunos sitios. No es una vulnerabilidad grave ni mucho menos, el impacto es prácticamente nulo en este caso.

Es una vulnerabilidad menor de inyección de código JS reflejada. Hace semanas reporté una de tipo persistente para el otro Askey, que potencialmente es mucho más peligrosa porque el código inyectado persiste, y es entregado al navegador Web cualquiera que acceda a él sin necesidad posteriormente de inyectar el código.

Aun con todo, siendo mucho más peligrosa la que reporté hace semanas (es persistente), a efectos realistas no supone demasiado problema tampoco. Tienes que tener en cuenta que el código JS es ejecutado en el propio navegador desde el contexto de la propia web. El acceso al Router es en el 99.9% de los casos sólo de acceso local, con lo que poder aprovecharla de forma fraudulenta es cuanto menos anecdótica:

1º. Dado que por defecto la interfaz Web solo se puede alcanzar desde la red local, en principio solo un usuario de la red podría estar realizando el XSS.

2º. La única forma para ello sería engañar al usuario a través de cualquier sistema de ingeniería social para que "pinchase" en un enlace concreto con la dirección creada para explotar el problema, y repito solo serviría si el usuario "pinchase" estando conectado dentro de su propia red, sino tampoco serviría.

3º. La información que pudiese obtenerse también sería muy limitada, sin contar que carecería de valor para ser usada de forma externa. Sí, se podría robar cookies de sesión, incluso la contraseña de acceso al Router en el mejor de los casos, cosa que tampoco es tan simple, dado que al no requerir acceso autorizado en principio tampoco habría datos que "robar". Pero de nuevo todo ello  carece totalmente de valor fuera de la red local.

----------

Para que pudiese explotarse de algún modo, tendría que ser un malware instalado en un dispositivo concreto que se encontrase dentro de la red, y que dicho malware lanzase un ataque contra el Router y posteriormente intentar habilitar acceso remoto externo. Y te puedo asegurar que si te han colado un malware en el equipo, el último de tus problemas será una vulnerabilidad XSS en tu Router, créeme.

Todo ello sin contar que al no ser siquiera persistente, requeriría para explotarla vectores de ataques paralelos, como digo, por medio de ingeniería social o malware. Si tenemos en cuenta que quien cae en técnicas de Ingeniería social/malware está expuesto infinitamente a peligros muy muy muy superiores...

Lo tienen que solucionar, sin duda, pero la gravedad es mínima, puedes estar totalmente tranquilo.

Saludos.

Gracias por la información

Hola @juancar2018.

¿Podrías confirmarnos si ha quedado resuelta tu consulta con la información facilitada por @Theliel (muchas gracias por tu aportación), por favor?

Un saludo.

Angela.

---

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Hola @juancar2018.

No hemos recibido más comunicaciones por tu parte, por lo que creemos que no necesitas más ayuda desde este foro. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.

Un saludo.

Angela.

---

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es