El ataque a routers UPnP suma malware NSA para infectar ordenadores

Actualidadmalware

Investigadores han encontrado pruebas de que los routers UPnProxy comprometidos a principios de este año, se están utilizando ahora para atacar a ordenadores conectados a las mismas puertas de enlace.

Resumiendo, UPnProxy es el nombre que Akami dio a un ataque contra un amplio abanico de routers que ejecutaban implementaciones vulnerables de Universal Plug and Play (UPnP). Se estimó que el ataque infectó a unos 65.000 routers de una posible lista de 3,5 millones.

UPnP ha estado desde hace tiempo en el punto de mira de los cibercriminales, con UPnProxy explotando sus debilidades para convertir a los routers en servidores proxy intentando así esconder ataques de phishing, DDoS, spam y tráfico fraudulento detrás de direcciones IP legítimas.

El último estudio de Akami de principios de noviembre sugiere que los atacantes de UPnProxy tuvieron un momento de clarividencia en el que se decidieron a utilizar el mapeo de puertos de UPnP para buscar ordenadores vulnerables en la LAN del router.

UPnProxy ha evolucionado para hacer esto utilizando los exploits EternalBlue (CVE-2017-0144) y EternalRed (CVE-2017-7494) para buscar máquinas que ejecuten los clientes Windows SMB y Linux Samba en los puertos 145 y 149.

EternalSilence

Bautizado el nuevo ataque como EternalSilence, la empresa ha detectado signos de este mapeo de puertos en al menos 45.000 routers de un total de 227.000 todavía vulnerables a UPnProxy.

Sin embargo, tras examinar el número de IPs conectados a esos routers, Akami estima que el número de ordenadores expuestos puede llegar a 1,7 millones.

La cifra total depende de cuántos de esos ordenadores son vulnerables a los exploits.

En teoría, la mayor parte de los ordenadores deben estar parcheados, pero los que tienen menos prioridad puede que no, asumiendo que no estaban expuestos a Internet dado el Network Address Translation (NAT) del router.

Según Chad Seaman de Akami:

Los ataques EternalSilence eliminan totalmente de la ecuación esta protección especial proporcionada por NAT, posiblemente exponiendo a una nueva serie de ordenadores a los mismos viejos exploits.

Vale la pena recordar que EternalBlue (robado al NSA) fue usado por primera vez en 2017 durante los devastadores ataques de WannaCry y NotPetya, por lo que no es una amenaza común y corriente.

¿A quién puede afectar?

El estudio UPnProxy de Akami estima el número de modelos que ejecutan UPnP vulnerable es de 400 de 73 empresas. Es decir, el número actual de routers infectados es relativamente muy pequeño.

La posibilidad de caer presa de UPnProxy y/o EternalSilence depende de los siguientes factores:

  • ¿Está UPnP activado en tu router (incluido el año pasado)?
  • ¿Ha recibido actualizaciones regularmente desde que se compró?
  • ¿Se estaban conectado ordenadores Windows a través de este router parcheado para EternalBlue en 2017? ¿O EternalRed de Linux?

Por lo tanto ¿qué debemos hacer? El primer paso es desactivar UPnP antes de actualizar a la última versión de firmware y estar seguros de que están instalados los parches contra EternalBlue/EternalRed.

Si se sospecha que un router está infectado (y eso es muy difícil para alguien que no sea un experto) es más complicado porque desactivando UPnP no borrará las infecciones NAT existentes.

En estos casos, Akami recomienda resetear el router a su estado de fábrica e iniciar el proceso de actualización a la última versión del firmware.

Comprobar si hay ordenadores comprometidos por EternalSilence es aún más complicado:

Los administradores pueden realizar escaneos para ver si están infectados, incluyendo escanear su UPnP NAT en busca de cosas raras.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.