Comprueba tu router: aumenta el número de afectados por VPNFilter

Actualidadmalwarevulnerabilidad

El malware VPNFilter, una botnet gigante que se dio a conocer hace un par de semanas y  que ataca a los routers, acaba de empeorar.

Originalmente se creía que afectaba a unos 15/20 routers domésticos y dispositivos NAS fabricados por Linksys, MikroTik, Netgear, TP-Link y QNAP, ahora se sabe que también están en peligro otros 56 de Asus, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.

Talos obtiene esta información tratando de determinar los modelos en los que se ha detectado VPNFilter, pero dado la extensión del trabajo (hay al menos 500.000 dispositivos infectados, probablemente más), la lista posiblemente no esté completa.

La alerta actualizada confirma que VPNFilter tiene la habilidad de actuar como un man-in-the-middle interceptando el tráfico web HTTP/S, algo que la investigación realizada por SophosLabs sobre este malware había concluido que era muy probable, lo que significa que no solo es capaz de monitorizar el tráfico y capturar credenciales, sino que también potencialmente puede repartir exploits entre los dispositivos conectados a la red.

Los routers domésticos se han convertido en un objetivo importante pero un malware capaz de infectar a tantos es relativamente raro. La última amenaza que afectó a routers de varios fabricantes y que tuvo una incidencia importante probablemente fue DNSChanger, que nadie fue capaz de detectar durante años, habiendo surgido en 2007.

Como VPNFilter es mucho más potente (para comenzar no hay manera sencilla de detectarlo), suponemos que cualquier dueño de uno de los routers afectado habrá tomado las precauciones necesarias.

Pero ¿qué precauciones?

Las posibilidades de que VPNFilter infectara tu router son bajas dado el número de positivos detectados por Talos y la gran cantidad de routers domésticos. Sin embargo, es una buena idea refrescar las precauciones a tomar.

Simplemente encender y apagar el router no es suficiente. Se ha descubierto que partes de VPNFilter pueden sobrevivir este proceso y reinstaurar la infección. Esto solo deja a los dueños el realizar un reseteado completo devolviendo el router a su estado de original de fábrica.

Después de comprobar que se dispone de una conexión por cable al router, hay dos maneras de realizarlo, mientras se está conectado a Internet, o, para más seguridad, cuando se está desconectado. Si se utiliza la segunda opción deberás haber descargado la última versión del firmware del router antes de comenzar.

Si escoges la opción más sencilla el router te guiará durante todo el proceso, después deberás realizar lo siguiente:

  1. Actualiza el firmware a la última versión. Esto es lo más importante porque últimamente los routers son objetivo de los cibercriminales por lo que requieren actualizaciones regulares.
  2. Intenta reinstalar la configuración del router desde un fichero backup que realizaras con antelación, de este manera ahorraras mucho tiempo.

Este también es un buen momento para que cambies el nombre de usuario y contraseña del router. Además deberías chequear si el router tiene activado alguna de las siguientes opciones que deberían estar desactivadas.

  • Administración web remota.
  • Enrutamiento de puertos.
  • Servicios no usados como Telnet, Ping, FTP, SMB, UPnP, WPS y remoto acceso al NAS.
  • Activa el registro, esto te ayudará en futuras infecciones.

Si tu router no recibe actualizaciones de firmware considera la opción de comprar otro y busca un fabricante que tenga un buen historial ofreciendo actualizaciones de seguridad en un período de tiempo razonable.

En resumen, VPNFilter no es un enemigo tan fiero. No parece que utilice ninguna vulnerabilidad día cero y se aprovecha de contraseñas antiguas o débiles. Esto es un buen recordatorio de la importancia de que deberíamos tener por la seguridad de nuestros routers del mismo modo que lo tenemos por nuestros ordenadores.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.