Un programa autorreplicante está infectando los enrutadores Linksys explotando una vulnerabilidad de omisión de autenticación en varios modelos de la línea de productos de la serie E del proveedor.
+También en Network World: Ofertas tecnológicas para el día de los presidentes +
Investigadores del Centro de Tormentas de Internet (ISC) del Instituto SANS emitieron una alerta el miércoles sobre incidentes en los que los enrutadores Linksys E1000 y E1200 se vieron comprometidos y estaban escaneando otros rangos de direcciones IP (Protocolo de Internet) en los puertos 80 y 8080. El jueves, los investigadores de ISC informaron que logró capturar el malware responsable de la actividad de escaneo en uno de sus honeypots: sistemas intencionalmente expuestos para ser atacados.
Los ataques parecen ser el resultado de un gusano, un programa autorreplicante, que compromete los enrutadores Linksys y luego los utiliza para buscar otros dispositivos vulnerables..
"En este punto, somos conscientes de un gusano que se está extendiendo entre varios modelos de enrutadores Linksys", dijo Johannes Ullrich, director de tecnología de SANS ISC, en una publicación de blog separada. "No tenemos una lista definitiva de enrutadores que sean vulnerables, pero los siguientes enrutadores pueden ser vulnerables según la versión del firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900".
El gusano, que se ha denominado TheMoon porque contiene el logotipo de Lunar Industries, una compañía ficticia de la película de 2009 "The Moon", comienza solicitando un / HNAP1 / URL de los dispositivos detrás de las direcciones IP escaneadas. HNAP, el protocolo de administración de la red doméstica, fue desarrollado por Cisco y permite la identificación, configuración y administración de dispositivos de red.
El gusano envía la solicitud HNAP para identificar el modelo del enrutador y la versión de firmware. Si determina que un dispositivo es vulnerable, envía otra solicitud a un script CGI en particular que permite la ejecución de comandos locales en el dispositivo.
SANS no ha revelado el nombre del script CGI porque contiene una vulnerabilidad de omisión de autenticación. "La solicitud no requiere autenticación", dijo Ullrich. "El gusano envía credenciales aleatorias de 'administrador' pero el script no las verifica".
El gusano explota esta vulnerabilidad para descargar y ejecutar un archivo binario en formato ELF (ejecutable y enlazable) compilado para la plataforma MIPS. Cuando se ejecuta en un nuevo enrutador, este binario comienza a buscar nuevos dispositivos para infectar. También abre un servidor HTTP en un puerto aleatorio de bajo número y lo usa para servir una copia de sí mismo a los objetivos recientemente identificados.
El binario contiene una lista codificada de más de 670 rangos de direcciones IP que escanea, dijo Ullrich. "Todos parecen estar vinculados a ISP de cable o módem DSL en varios países".
No está claro cuál es el propósito del malware que no sea propagarse a dispositivos adicionales. Hay algunas cadenas en el binario que sugieren la existencia de un servidor de comando y control, lo que convertiría la amenaza en una botnet que los atacantes podrían controlar de forma remota..
Linksys es consciente de la vulnerabilidad en algunos enrutadores de la serie E y está trabajando en una solución, dijo Mike Duin, portavoz del propietario de Linksys, Belkin, en un correo electrónico el viernes..
Ullrich describió varias estrategias de mitigación en los comentarios a su publicación de blog. En primer lugar, los enrutadores que no están configurados para la administración remota no están expuestos directamente a este ataque. Si un enrutador necesita ser administrado de forma remota, restringir el acceso a la interfaz administrativa por dirección IP ayudará a reducir el riesgo, dijo Ullrich. Cambiar el puerto de la interfaz a otro que no sea 80 u 8080, también evitará este ataque en particular, dijo.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
