Hallan una vulnerabilidad en un modelo de router de Huawei que está siendo explotada por Mirai

Investigadores de Check Point han descubierto una vulnerabilidad en un modelo de router del fabricante chino Huawei que abre la puerta al esparcimiento de Okiku o Satori (el mismo malware tiene dos nombres), una variante de uno de los troyanos más temidos, Mirai, protagonista del ataque DDoS contra las DNS de Dyn que dejó parte de Internet inaccesible durante unas horas.

Siendo más concretos, el modelo de router en el cual se ha encontrado la vulnerabilidad es el HG532. Check Point ha descubierto cientos de miles de intentos de explotación de la vulnerabilidad en Internet, por lo que los actores maliciosos son conscientes de su existencia y están intentando sacarle provecho para poder lanzar ataques mediante la construcción de botnets.

Habiendo sido identificada por los investigadores de Check Point el 23 de noviembre de 2017, estos comentan que observaron una ráfaga de ataques en todo el mundo contra las unidades del dispositivo mencionado en el párrafo anterior, con Estados Unidos, Italia, Alemania y Egipto como los países más golpeados. La compañía reaccionó el pasado viernes publicando y actualizando un aviso sobre la vulnerabilidad, diciendo a sus clientes que esta permite a un atacante remoto enviar paquetes maliciosos a través del puerto 37215 para ejecutar código en remoto sobre routers vulnerables.

Desde que el código fuente de Mirai está disponible, muchos han sido los hackers que lo han modificado para poder infectar a todo tipo de dispositivos relacionados con el Internet de las Cosas. En MuySeguridad hemos comentado en alguna que otra ocasión la gran cantidad de dispositivos vulnerables debido sobre todo a que estos no son actualizados con diligencia o no tienen soporte por parte de sus fabricantes, algo a lo cual se añade la tendencia del aumento en la cantidad de ataques mediante botnets de IoT en el presente año.

Check Point decidió averiguar quién está detrás de los ataques con Okiku, hallando el pseudónimo “Nexus Zeta”, utilizado en una dirección de email registrada en el dominio de mando y control de la botnet. Cruzando referencias, sobre todo con lo extraído del foro HackerForum, ha descubierto que podría tratarse de un hacker sin experiencia interesado en montar una botnet con Mirai.

Centrándonos en Okiku, este se diferencia de la versión original de Mirai en que no utiliza ataques de fuerza bruta, sino que los lanza a mediante el puerto 37215 para explotar la vulnerabilidad CVE-2017-17215 hallada en los routers Huawei HG532. Mediante la inyección de una orden se descarga la carga útil maliciosa y luego esta se ejecuta en el router vulnerable. Para llevar a cabo la última acción, la carga útil se apoya en el protocolo UPnP (Universal Plug and Play) y el estándar TR-064, diseñado para facilitar la incorporación de dispositivos UPnP en una red local.

El framework de UPnP soporta un proceso llamado DeviceUpgrade, encargado de llevar a cabo la actualización del firmware del router. Esto quiere decir que los hackers pueden ejecutar órdenes arbitrarias mediante la inyección metacaracteres de shell en el proceso de actualización del dispositivo. Por su parte, el objetivo principal de la carga útil es ordenar al bot que desborde los objetivos con paquetes UDP y TCP específicamente diseñados.

Como medida de mitigación Huawei ha recomendado configurar el cortafuegos incluido en el propio router para evitar el tráfico por el puerto 37215, cambiar la contraseña por defecto del router o recurrir a un firewall de la operadora.

Fuente: muyseguridad.net

Visitas: 21