Encontradas 5 botnets potentes que explotan el router GPON

Router

Hace tan solo 10 días que se realizó la divulgación de dos vulnerabilidades críticas en el router GPON, desde entonces se han encontrado por lo menos 5 familias de botnets que explotan las fallas con el fin de conformar un ejército de millones de dispositivos.

Investigadores de seguridad de la firma de seguridad cibernética Qihoo 360 Netlab con sede en China han detectado 5 familias de botnets, incluidas Mettle, Muhstik, Mirai, Hajime y Satori, haciendo uso de la explotación de GPON.

El fabricante de enrutadores de redes ópticas pasivas (GPON) con capacidad Gigabit de DASAN Zhone Solutions con sede en Corea del Sur se ha encontrado vulnerable a un bypass de autenticación (CVE-2018-10561) y un RCE raíz (CVE-2018 -10562) fallas que eventualmente permiten a los atacantes remotos tomar el control total del dispositivo.

Poco después de que fueran revelados los detalles de las vulnerabilidades, los investigadores de 360 ​​Netlab advirtieron sobre la amenaza que permite explotar los fallos para secuestrar y agregar los enrutadores vulnerables a redes de malware de botnets. Ahora, los investigadores han publicado un nuevo informe, que detalla 5 familias de botnets que explotan activamente estos problemas:

 

Mettle Botnet - El panel de comando y control y el escáner de este botnet se encuentran en un servidor que reside en Vietnam. Los atacantes han estado utilizando un módulo de ataque Mettle de fuente abierta para implantar malware en enrutadores vulnerables.
 

Muhstik Botnet: esta botnet se descubrió inicialmente la semana pasada cuando explotaba activamente una falla crítica de Drupal, y ahora la última versión de Muhstik se ha actualizado para explotar las vulnerabilidades de GPON, junto con fallas en el firmware de JBOSS y DD-WRT.
 

Mirai Botnet (nuevas variantes): GPON exploit también se ha integrado en algunas nuevas variantes (operadas por diferentes grupos de piratería) de la infame botnet Mirai IoT, que surgió por primera vez y fue abierta en 2016 después de que se usó para lanzar rompiendo ataques DDoS.
 

Hajime Botnet - Otra infame botnet IoT, Hajime, también se ha encontrado agregando GPON explotar a su código para atacar a cientos de miles de enrutadores hogareños.
 

Satori Botnet: la infame botnet que infectó 260,000 dispositivos en solo 12 horas el año pasado, también se ha observado que Satori (también conocido como Okiru) incluye GPON exploit en su última variante.

Los investigadores de vpnMentor, que descubrieron las vulnerabilidades GPON, ya informaron los problemas al fabricante del enrutador, pero la compañía aún no ha publicado ninguna solución para los problemas, ni los investigadores creen que se esté desarrollando ningún parche, dejando a millones de sus clientes abiertos a estos operadores de botnet

Se ha puesto a disposición del público un exploit de prueba de concepto (PoC) en funcionamiento para las vulnerabilidades del enrutador GPON, lo que facilita su explotación incluso a los hackers no especializados. Por lo tanto, hasta que la empresa publique un parche oficial, los usuarios pueden proteger sus dispositivos al desactivar los derechos de administración remota y usar un firewall para evitar el acceso externo desde Internet público.

Hacer estos cambios en sus enrutadores vulnerables restringiría el acceso a la red local únicamente, dentro del alcance de su red Wi-Fi, reduciendo así de manera efectiva la superficie de ataque al eliminar a los atacantes remotos.

Si no está seguro acerca de estas configuraciones, vpnMentor también ha proporcionado una herramienta en línea simple que modifica automáticamente la configuración de su enrutador en su nombre, aunque no recomendamos a los usuarios que ejecuten scripts o parches de terceros en sus dispositivos.

En su lugar, los usuarios deben esperar las correcciones oficiales del fabricante del enrutador o aplicar los cambios manualmente, cuando sea posible.

@fredyavila

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,  

Video