La construcción de botnets formadas por enrutadores, módems, puntos de acceso inalámbrico y otros dispositivos de red no requiere exploits sofisticados. Remaiten, un nuevo gusano que infecta los sistemas integrados, se propaga aprovechando las contraseñas débiles de Telnet.
Remaiten es la última encarnación de bots distribuidos de denegación de servicio de Linux diseñados para arquitecturas integradas. Sus autores en realidad lo llaman KTN-Remastered, donde KTN probablemente representa un conocido bot de Linux llamado Kaiten.
Al buscar nuevas víctimas, Remaiten intenta conectarse a direcciones IP aleatorias en el puerto 23 (Telnet) y si la conexión es exitosa, intenta autenticarse usando combinaciones de nombre de usuario y contraseña de una lista de credenciales comúnmente utilizadas, dijeron investigadores de ESET en un comunicado. entrada en el blog.
Si la autenticación se realiza correctamente, el bot ejecuta varios comandos para determinar la arquitectura del sistema. Luego transfiere un pequeño programa de descarga compilado para esa arquitectura que procede a descargar el bot completo desde un servidor de comando y control.
El malware tiene versiones para mips, mipsel, armeabi y armebeabi. Una vez instalado, se conecta a un canal IRC (Internet Relay Chat) y espera los comandos de los atacantes..
El bot admite una variedad de comandos para lanzar diferentes tipos de ataques de denegación de servicio. También puede buscar robots DDoS competidores en el mismo sistema y desinstalarlos.
Es sorprendente que muchos dispositivos de red sigan utilizando Telnet para la gestión remota, en lugar del protocolo SSH más seguro. También es lamentable que muchos dispositivos se envíen con el servicio Telnet abierto de forma predeterminada.
Los propietarios de dispositivos deben usar una de las muchas herramientas gratuitas de escaneo de puertos en línea para verificar si su enrutador tiene el puerto 23 abierto y deben intentar cerrar el servicio Telnet desde la interfaz de administración basada en la web del dispositivo. Desafortunadamente, muchos dispositivos de puerta de enlace proporcionados por los ISP a sus clientes no les dan a los usuarios acceso completo a las funciones de administración.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
