El ataque a routers UPnP suma malware NSA para infectar los ordenadores

7 diciembre, 2018
19 Compartido 2,762 Visualizaciones

Investigadores han encontrado pruebas de que los routers UPnProxy comprometidos a principios de este año, se están utilizando ahora para atacar a ordenadores conectados a las mismas puertas de enlace.

Resumiendo, UPnProxy es el nombre que Akami dio a un ataque contra un amplio abanico de routers que ejecutaban implementaciones vulnerables de Universal Plug and Play (UPnP). Se estimó que el ataque infectó a unos 65.000 routers de una posible lista de 3,5 millones.

UPnP ha estado desde hace tiempo en el punto de mira de los cibercriminales, con UPnProxy explotando sus debilidades para convertir a los routers en servidores proxy intentando así esconder ataques de phishing, DDoS, spam y tráfico fraudulento detrás de direcciones IP legítimas.

El último estudio de Akami de principios de noviembre sugiere que los atacantes de UPnProxy tuvieron un momento de clarividencia en el que se decidieron a utilizar el mapeo de puertos de UPnP para buscar ordenadores vulnerables en la LAN del router.

UPnProxy ha evolucionado para hacer esto utilizando los exploits EternalBlue y EternalRed para buscar máquinas que ejecuten los clientes Windows SMB y Linux Samba en los puertos 145 y 149.

EternalSilence

Bautizado el nuevo ataque como EternalSilence, la empresa ha detectado signos de este mapeo de puertos en al menos 45.000 routers de un total de 227.000 todavía vulnerables a UPnProxy.

Sin embargo, tras examinar el número de IPs conectados a esos routers, Akami estima que el número de ordenadores expuestos puede llegar a 1,7 millones.

La cifra total depende de cuántos de esos ordenadores son vulnerables a los exploits.

En teoría, la mayor parte de los ordenadores deben estar parcheados, pero los que tienen menos prioridad puede que no, asumiendo que no estaban expuestos a Internet dado el Network Address Translation (NAT) del router.

Según Chad Seaman de Akami»Los ataques EternalSilence eliminan totalmente de la ecuación esta protección especial proporcionada por NAT, posiblemente exponiendo a una nueva serie de ordenadores a los mismos viejos exploits».

Vale la pena recordar que EternalBlue (robado al NSA) fue usado por primera vez en 2017 durante los devastadores ataques de WannaCry y NotPetya, por lo que no es una amenaza común y corriente.

¿A quién puede afectar?

El estudio UPnProxy de Akami estima el número de modelos que ejecutan UPnP vulnerable es de 400 de 73 empresas. Es decir, el número actual de routers infectados es relativamente muy pequeño.

La posibilidad de caer presa de UPnProxy y/o EternalSilence depende de los siguientes factores:

  • ¿Está UPnP activado en tu router (incluido el año pasado)?
  • ¿Ha recibido actualizaciones regularmente desde que se compró?
  • ¿Se estaban conectado ordenadores Windows a través de este router parcheado para EternalBlue en 2017? ¿O EternalRed de Linux?

Por lo tanto ¿qué debemos hacer? El primer paso es desactivar UPnP antes de actualizar a la última versión de firmware y estar seguros de que están instalados los parches contra EternalBlue/EternalRed.

Si se sospecha que un router está infectado (y eso es muy difícil para alguien que no sea un experto) es más complicado porque desactivando UPnP no borrará las infecciones NAT existentes.

En estos casos, Akami recomienda resetear el router a su estado de fábrica e iniciar el proceso de actualización a la última versión del firmware.

Comprobar si hay ordenadores comprometidos por EternalSilence es aún más complicado: »Los administradores pueden realizar escaneos para ver si están infectados, incluyendo escanear su UPnP NAT en busca de cosas raras».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Cyberpedia: ¿Qué es el Ransomware? Historia del malware más famoso de 2017
Actualidad
1564 visualizaciones
Actualidad
1564 visualizaciones

Cyberpedia: ¿Qué es el Ransomware? Historia del malware más famoso de 2017

Redacción - 26 mayo, 2017

¿Qué es el Ransomware? Ransomware es un tipo de malware que es capaz de secuestrar un ordenador para evitar que…

El papel de la ciberseguridad en los casinos en línea
Actualidad
7 compartido1,158 visualizaciones
Actualidad
7 compartido1,158 visualizaciones

El papel de la ciberseguridad en los casinos en línea

Redacción - 21 abril, 2020

Las películas sobre robots y casinos son todas clásicas en la historia del cine. Con los años, hay muchas películas sobre…

Forbes incluye a Hootsuite en la lista Cloud 100 como una de  las “Mejores y más Brillantes” empresas privadas de Cloud
Actualidad
12 compartido1,128 visualizaciones
Actualidad
12 compartido1,128 visualizaciones

Forbes incluye a Hootsuite en la lista Cloud 100 como una de las “Mejores y más Brillantes” empresas privadas de Cloud

Vicente Ramírez - 19 septiembre, 2018

El liderazgo en el mercado, la valoración, las métricas operativas, las personas y la cultura han llevado a Hootsuite a…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.