- 26 Ago 2009
- 8.533
- 2.648
- 0
Los routers que tenemos en nuestro hogar son el centro de la red doméstica, estos routers son la primera barrera de protección frente a ciberdelincuentes ya que todos ellos incorporan un firewall, y protegen los equipos de la red local frente intrusiones externas. Por este motivo, los cibercriminales se están centrando cada vez más en ellos con la finalidad de crear una gran botnet e incluso comprometer ordenadores de la LAN.
Según el Instituto Nacional de Ciberseguridad, durante los últimos meses se han detectado un gran número de ataques cuyo objetivo son los routers domésticos, la gran mayoría de ellos proporcionados por distintos operadores de Internet (ISP), y algunos de ellos son españoles.
Atacando el servicio SSH de los routers
Según INCIBE, durante el mes de Agosto se han detectado intentos de intrusión en routers basados en Linux con arquitectura ARM, x86, MIPSEL y MIPS, con servicios SSH expuestos a todo Internet y cuya autenticación únicamente se basa en usuario y contraseña. El problema más grave es que los credenciales utilizados por los usuarios son los predeterminados del fabricante como por ejemplo:
Se han detectado un total de 104 ataques desde 38 países distintos entre los que se encuentra España, todos estos ataques siguen el mismo patrón: un ordenador previamente infectado con malware realiza ataques de fuerza bruta contra diferentes routers probando credenciales para intentar comprometer el router. Se ha detectado que el listado de host a atacar es generado de forma aleatoria dentro de un rango determinado.
Si el ordenador atacante consigue acceso al router, comprobará la arquitectura del router y posteriormente descargará diferentes ficheros para ejecutarlos e introducir el router dentro de la botnet.
El servicio Telnet tampoco se libra de los ataques
En algunas ocasiones además de tener disponible el servicio SSH expuesto a Internet, también está disponible el servicio Telnet. En sólo 48 horas INCIBE ha detectado más de 5.000 intentos de acceso, de los cuales 182 consiguieron acceder con los credenciales por defecto para realizar la descarga del malware. Todos estos ataques están específicamente dirigidos a routers domésticos que están configurados para acceder desde Internet a ellos.
Los fabricantes afectados
Los fabricantes de routers que se han visto afectados por estos ataques con por ejemplo los NuCom, un fabricante que actualmente suministra equipos al operador Pepephone y Jazztel en sus ofertas de ADSL2+. Debemos decir que el router NuCom de Pepephone no permite acceso desde Internet, ni vía SSH, Telnet, SNMP ni tampoco vía web HTTP/HTTPS, todos los servicios están deshabilitados de cara a Internet. Otro router afectado es por ejemplo el Zyxel P-2612HNU-F, e incluso se ha detectado que routers con el firmware DD-WRT también se han visto comprometidos por tener los credenciales por defecto.
Recomendaciones para evitar que infecten nuestro router
Las recomendaciones básicas para evitar que infecten nuestro router son:
Según el Instituto Nacional de Ciberseguridad, durante los últimos meses se han detectado un gran número de ataques cuyo objetivo son los routers domésticos, la gran mayoría de ellos proporcionados por distintos operadores de Internet (ISP), y algunos de ellos son españoles.
Atacando el servicio SSH de los routers
Según INCIBE, durante el mes de Agosto se han detectado intentos de intrusión en routers basados en Linux con arquitectura ARM, x86, MIPSEL y MIPS, con servicios SSH expuestos a todo Internet y cuya autenticación únicamente se basa en usuario y contraseña. El problema más grave es que los credenciales utilizados por los usuarios son los predeterminados del fabricante como por ejemplo:
- root/root
- admin/admin
- ubnt/ubnt
Se han detectado un total de 104 ataques desde 38 países distintos entre los que se encuentra España, todos estos ataques siguen el mismo patrón: un ordenador previamente infectado con malware realiza ataques de fuerza bruta contra diferentes routers probando credenciales para intentar comprometer el router. Se ha detectado que el listado de host a atacar es generado de forma aleatoria dentro de un rango determinado.
Si el ordenador atacante consigue acceso al router, comprobará la arquitectura del router y posteriormente descargará diferentes ficheros para ejecutarlos e introducir el router dentro de la botnet.
El servicio Telnet tampoco se libra de los ataques
En algunas ocasiones además de tener disponible el servicio SSH expuesto a Internet, también está disponible el servicio Telnet. En sólo 48 horas INCIBE ha detectado más de 5.000 intentos de acceso, de los cuales 182 consiguieron acceder con los credenciales por defecto para realizar la descarga del malware. Todos estos ataques están específicamente dirigidos a routers domésticos que están configurados para acceder desde Internet a ellos.
Los fabricantes afectados
Los fabricantes de routers que se han visto afectados por estos ataques con por ejemplo los NuCom, un fabricante que actualmente suministra equipos al operador Pepephone y Jazztel en sus ofertas de ADSL2+. Debemos decir que el router NuCom de Pepephone no permite acceso desde Internet, ni vía SSH, Telnet, SNMP ni tampoco vía web HTTP/HTTPS, todos los servicios están deshabilitados de cara a Internet. Otro router afectado es por ejemplo el Zyxel P-2612HNU-F, e incluso se ha detectado que routers con el firmware DD-WRT también se han visto comprometidos por tener los credenciales por defecto.
Recomendaciones para evitar que infecten nuestro router
Las recomendaciones básicas para evitar que infecten nuestro router son:
- Revisar que tengamos la última actualización de firmware para asegurarnos que no hay ningún fallo de seguridad que un atacante pueda explotar.
- Cambiar los credenciales por defecto (la contraseña), si el firmware permite cambiar el usuario predeterminado por uno personal, hacerlo.
- Asegurarnos que nuestro router no está accesible desde Internet (SSH, Telnet, HTTP…) si no necesitamos de este servicio. Si necesitamos acceder desde el exterior es necesario cambiar los credenciales y disponer de un filtro anti fuerza bruta.
