Eternal Silence, el brutal ataque que secuestra tu router para lanzar ataques ADSLZone

Tabla de contenido

La vulnerabilidad ha sido descubierta por investigadores de Akamai, y ha sido bautizada como Eternal Silence. El fallo permite a un atacante abusar de Universal Plug and Play (UPnP) y convertir un router en un proxy para lanzar ataques a la vez que esconde la ubicación de los atacantes.

UPnP: abrir puertos de forma cómoda

UPnP es un protocolo opcional en los routers actuales, pero la mayoría lo tienen activado por defecto por la comodidad que aporta. Gracias a él, los dispositivos que tenemos conectados al router, ya sea por WiFi o por Ethernet, pueden abrir puertos automáticamente en el router sin que haya que ir a la configuración a abrirlos a mano.

Sin embargo, aunque es mucho más cómodo, a cambio también estamos poniendo en peligro nuestra seguridad; sobre todo si la implementación es vulnerable. En este caso, si una conexión WAN está expuesta, un atacante puede abrir puertos de manera remota en nuestro router.

Akamai afirma que ha observado a varios atacantes aprovechando esta vulnerabilidad. De los 3,5 millones de routers con UPnP que se encuentran con conexión, 277.000 son vulnerables a UPnProxy, que es como bautizaron inicialmente el origen del ataque. De ellos, 45.113 ya han sido infectados por los hackers.

router contraseña wifi

Router con problemas

Según Akamai, los atacantes buscan explotar EternalBlue y EternalRed en Windows y Linux. Ambas vulnerabilidades llevan años parcheadas, pero hay muchos dispositivos que no están actualizados al día. Si consiguen llevar a cabo con éxito el ataque, pueden instalar scripts de minado, robar contraseñas, o instalar ransomware.

Las inyecciones de código buscan abrir los puertos TCP 139 y 445 en los dispositivos conectados al router. El NAT los protegía de estas vulnerabilidades al no haber manera de acceder a ellos remotamente. Sin embargo, con este ataque se abre la puerta a una nueva oleada de dispositivos atacados.

Desde Akamai han creado un script en bash para comprobar si somos vulnerables al ataque. Si descubres algún dispositivo infectado por Eternal Silence, es necesario que resetees el dispositivo y lo dejes como estaba de fábrica, para lo cual es conveniente que uses un clip y pinches en el botón oculto que tienen los routers en la parte de atrás. Sólo así conseguirás eliminar por completo la infección. A su vez, es conveniente revisar que tenemos instalados los últimos parches de seguridad.

Listado de dispositivos vulnerables

En total encontramos 48 marcas afectadas y 120 modelos. Una de las que más modelos afectados tiene es ASUS, con multitud de modelos que se encuentran entre los más vendidos del mercado. Por ejemplo, el RT-AC66U es un producto «Amazon’s Choice«, con más de 900 reseñas. También hay multitud de modelos de D-Link, Netgear, Tenda, Ubiquiti o Zyxel, por lo que puede haber millones de personas afectadas al tratarse de routers muy populares.

El listado completo incluye routers de ASUS (DSL-AC68R, DSL-AC68U, DSL-N55U), Anker (N600), Belkin (F5D8635-4 v1, F9K1113 v5), D-Link (DIR-601, DIR-615, DIR-620, DIR-825…), Edimax (3G6200N, 3G6200NL, BR-6204WG…), MSI (RG300EX, RG300EX Lite, RG300EX Lite II), NETGEAR (R2000, WNDR3700, WNDR4300v2, WNR2000v4), OpenWRT, Sitecom (WLR-7100v1002 (X7 AC1200), WLR-1000…), Ubiquiti, ZTE o ZyXel (NBG4615 Internet Sharing Gateway, NBG5715 router, X150N Internet Gateway Device…).

Fuente obtenida de: https://www.adslzone.net/noticias/seguridad/eternal-silence-vulnerabilidad-routers-upnp/

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.