MIRAI deja 900.000 routers fuera de internet en Alemania

La fuerza y notoriedad del botnet Mirai cada día pesa más en internet. La razón?, la inseguridad de los dispositivos IoT (Internet de las cosas).

El pasado mes, la red de bots Mirai golpeo a toda la internet dúrate unas horas, paralizando algunos de los sitios web mas grandes y mas populares del mundo.

Ahora, más de 900.000 routers de banda ancha que pertenecientes a los clientes de Deutsche Telekom en Alemania quedaron fuera de línea durante el fin de semana después de un supuesto ataque cibernético, que afecta a la telefonía, televisión y servicio de internet en el país.

El proveedor de servicios de Internet alemán, Deutsche Telekom, que ofrece diversos servicios a alrededor de 20 millones de clientes, confirmó en Facebook que un máximo de 900.000 clientes sufrieron cortes de Internet el Domingo y Lunes.

Se dice que millones de routers son vulnerables a un código de ejecución remota, falla crítica en los routers fabricados por Zyxel y Speedport, en el puerto de Internet (7547) abierto para recibir comandos basados en el TR-069 y afines (TR-064 protocol), que están destinados al uso por los proveedores de Internet para administrar sus dispositivos de forma remota.

La misma vulnerabilidad afecta a los routers inalámbricos Eir D1000 (renombrados Zyxel módem) desplegadas por Irish proveedor de servicio de internet Eircom, mientras que no hay indicios de que estos routers son explotados de manera activa.

De acuerdo con la búsqueda Shodan, alrededor de 41 millones de dispositivos conectados a internet tienen el puerto 7547 abierto, mientras que alrededor de 5 millones de dispositivos exponen el servicio TR-064 al mundo exterior.

De acuerdo con un boletín publicado por SANS Internet Storm Center, servidores honeypot posando como routers vulnerables están recibiendo el código de explotación cada 5-10 minutos.

Un paquete interceptado mostró como un mando a distancia, defecto utilizado para la ejecución de código en la parte <NewNTPServer> de una solicitud SOAP, se utiliza para descargar y ejecutar un archivo con el fin de infectar el dispositivo vulnerable.

Los investigadores de seguridad en BadCyber también analizaron una de las cargas maliciosas que fueron entregados durante los ataques y descubrieron que la ataque se originó a partir de un conocido servidor de comando y control de Mirai.

“La aplicación inusual de TR-064 para ejecutar código en los routers se ha descrito por primera vez a principios de noviembre y unos días más tarde había aparecido un módulo de Metasploit relevante”. BadCyber escribió en una entrada en el blog . “Parece que alguien decidió convertir en armas y crear un gusano de Internet basado en el código de Mirai”.

Todo empezó a principios de octubre, cuando fue lanzado públicamente el código fuente de Mirai , una pieza desagradable de malware IoT diseñada para buscar los dispositivos inseguros IoT (en su mayoría de routers, cámaras y DVR) y los esclaviza en una red botnet, que luego es utilizado para lanzar ataques DDoS.

El hacker crea tres archivos separados para explotar con el fin de infectar a tres arquitecturas diferentes: dos que ejecutan diferentes tipos de chips MIPS y uno con chips de ARM Silicon.

Las cargas maliciosas al abrir la interfaz de administración a distancia y luego intentan iniciar sesión con el uso de tres diferentes contraseñas por defecto. Una vez hecho esto, el exploit a continuación, cierra el puerto 7547 con el fin de evitar que otros atacantes tomen el control de los dispositivos infectados.

“Los nombres de usuario y las contraseñas son ofuscados (o “cifrados”) en el código del gusano usando el mismo algoritmo que hace Mirai” dicen los investigadores. “El servidor C&C reside bajo timeserver.host nombre de dominio, que puede encontrarse en la lista de seguimiento de Mirai.”

Se pueden encontrar más en profundidad los detalles técnicos de la vulnerabilidad en ISC Sans ,Kaspersky Lab , y la ingeniería inversa Blog.

Ataque cibernético llama a la puerta cerca de un millón de routers Desconectado

Deutsche Telekom ha emitido un parche de emergencia para los dos modelos de sus routers de banda ancha Speedport (Speedport W 921V, Speedport W 723V Tipo B) y en la actualidad se encuentra en despliegue de actualizaciones de firmware.

La compañía recomienda a sus clientes que apagar sus routers, espere 30 segundos y luego reiniciar sus routers en un intento de buscar el nuevo firmware durante el proceso de arranque.

Si el router no puede conectarse a la red de la empresa, los usuarios se les recomienda desconectar el dispositivo de la red de forma permanente.

Para compensar el tiempo de inactividad, el ISP también está ofreciendo gratis el acceso a Internet a través de dispositivos móviles a los clientes afectados hasta que el problema técnico se resuelva.

Leave a Reply

%d bloggers like this: