Existen al menos 116 modelos de routers diferentes infectados por un malware que explora esta vulnerabilidad.
Se ha descubierto recientemente un botnet que controla cerca de 100000 routers de varios fabricantes utilizados en el hogar y en pequeñas empresas. La existencia de esta ‘botnet’ es posible debido a una vulnerabilidad, que aún no está resuelta, cinco años después de haber anunciado su existencia. Algo que no deja en muy buen lugar a la mayoría de estos fabricantes de routers.
El equipo de la organización china de seguridad online Netlab 360, que anunció la existencia de esta ‘botnet’ la semana pasada, llamó al malware BCMUPnP_Hunter. El nombre tiene su origen en la mala implementación del protocolo UPnP en los chipsets de Broadcom que se utilizan en los dispositivos que son vulnerables. En el año 2013 se publicó una advertencia sobre la existencia de un fallo de seguridad en los routers de varios fabricantes, incluyendo routers de compañías como Broadcom, Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear y US Robotics, es decir, prácticamente la mayoría de las compañías que se dedican a la fabricación y comercialización de routers.
El anuncio de la existencia de esta ‘botnet’ sugiere que muchos de los dispositivos que ya eran vulnerables en ese momento continuaron funcionando sin que se resolviera el problema. En la publicación de Netlab 360, se mencionan 116 tipos diferentes de dispositivos de varios fabricantes que forman parte de esta botnet. Después de estar a merced de los atacantes, los routers se ligan a una cantidad de servicios de correo electrónico. Esto indica que los dispositivos infectados se utilizan para el lanzamiento de campañas de spam o para el envío de malware a través de correo electrónico.
Protocolo Universal Plug and Play o UPnP
El protocolo UPnP, o Universal Plug and Play, sirve para facilitar la conexión de dispositivos a una red local ya que permite que se descubran entre sí fácilmente. Y es particularmente útil para facilitar la vida a las personas que no tienen conocimientos para configurar un nuevo dispositivo en su red. Sin embargo, el protocolo UPnP también puede abrir agujeros de seguridad en las redes que lo utilizan. Esto hace que, en ciertos casos, estos bugs permitan que un dispositivo local responda a solicitudes de comunicación de fuera de la red local. Esto permite a los hackers asumir el control de estos dispositivos. Las vulnerabilidades de seguridad también pueden permitir que los atacantes superen los servidores de seguridad.
Después de estar infectados, los dispositivos sirven de proxy a más de una docena de servicios de correo electrónico, incluyendo Outlook, Hotmail y Yahoo Mail. Según la publicación de Netlab 360, la estructura del malware revela que quien lo escribió tiene conocimientos profundos del funcionamiento de los protocolos y de los chips involucrados.
Las personas que utilizan alguno de los 116 modelos de routers que aparecen en la lista publicada por Netlab 360 deben comprobar en el sitio web del fabricante si hay alguna actualización de firmware y actualizar sus dispositivos. Si no existe, deben considerar su sustitución. Todavía no hay noticias de ningún procedimiento para la eliminación de este malware.
En cualquier caso siempre es aconsejable apagar o desconectar la función UPnP en el router porque el coste sobrepasa el beneficio.
Saludos desde lo más profundo de los bytes.
