Vulnerabilidades en routers domésticos: posibles amenazas provenientes de hackers
Este mes se reveló una vulnerabilidad en millones de routers domésticos. El 3 de agosto, Tenable, una empresa de ciberexposición, descubrió una vulnerabilidad de omisión de autenticación que afecta tanto a routers domésticos como a otros dispositivos del Internet de las Cosas (IoT) que pueden ser explotados por cibercriminales.
Juniper Threat Labs también mencionó que los cibercriminales pueden usar una variante del malware Mirai para aprovechar la vulnerabilidad del router doméstico. Ya ha habido un secuestro reciente de routers domésticos de al menos 20 proveedores, ya que usan la variante del malware Mirai para llevar a cabo ataques DDoS. Se descubrió que la vulnerabilidad afecta a proveedores de routers domésticos como ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon y Vodafone. Estos routers domésticos usan el firmware de Arcadyan, que es vulnerable al ataque.
Los investigadores de Tenable registraron la falla de seguridad como CVE-2021-20090. Tenable publicó una prueba de concepto (POC) que indica que los ciberatacantes pueden infiltrarse en un dispositivo activando el Telnet en el router doméstico y obtener cierto acceso al dispositivo. A continuación, el atacante puede lanzar un ataque DDoS a todos los dispositivos conectados al router doméstico.
Según Tenable, “Cuando se publica una prueba de concepto de explotación [POC, por sus siglas en inglés], a menudo les lleva muy poco tiempo integrarla en su plataforma y lanzar ataques. Los investigadores también señalaron que la mayoría de las organizaciones no tienen políticas para parchear dentro de unos pocos días, a veces tardando semanas en reaccionar. Pero en el caso de los dispositivos IoT o gateways domésticos, la situación es mucho peor ya que la mayoría de los usuarios no son expertos en tecnología y, incluso los que lo son, no se les informa acerca de las posibles vulnerabilidades y parches para aplicar.
Las amenazas potenciales a través de la variante Mirai
Juniper Network descubrió la explotación de routers domésticos a través del malware Mirai. Los cibercriminales pueden cambiar su dirección IP a una en China y lanzar un ataque a los routers vulnerables.
Ellos dijeron, “Hemos identificado algunos patrones de ataque que intentan explotar esta vulnerabilidad en la red, procedentes de una dirección IP ubicada en Wuhan, provincia de Hubei, China. Parece que el atacante intenta desplegar una variante de Mirai en los routers afectados.”
Un ataque a un router doméstico puede representar múltiples amenazas para una persona o empresa. Jake Williams de BreachQuest, hizo hincapié en el efecto del ataque. Dijo, “Un actor de amenazas que compromete un router puede ejecutar ataques man-in-the-middle completos en todo el tráfico que pasa por él, pero el escenario más probable es un actor de amenazas utilizando estos dispositivos como parte de una botnet, que podría ser utilizada para escaneo de vulnerabilidades distribuido, explotación, adivinación de contraseñas, o en el caso más probable DDoS.”
Según Williams, una vulnerabilidad en la interfaz de usuario de un router doméstico podría dar a un atacante acceso de inicio de sesión al dispositivo, permitiéndole potencialmente cambiar configuraciones o agregar malware. Sin embargo, añadió que la mayoría de los routers modernos no exponen su interfaz a internet público.
¿Qué es la variante de Mirai?
Mirai es una botnet que se dirige a los dispositivos del Internet de las Cosas (IoT), como routers domésticos, grabadoras de video digital y cámaras de internet, y los convierte en cosas que hackean otras máquinas. Se cree que la botnet autoreplicante de Mirai es responsable de más de medio millón de dispositivos IoT comprometidos que se utilizaron para llevar a cabo ataques DDoS masivos de hasta 1 Tbps.
Mirai fue detectado por primera vez en 2016 cuando los hackers desataron un ataque a gran escala en el servicio de sistema de nombres de dominio (DNS) de Dyn. Esto provocó que numerosos sitios importantes estuvieran inaccesibles durante horas, incluyendo Twitter, Amazon, Reddit y Netflix. El código de Mirai se publicó en noviembre de ese año y desde entonces han surgido muchas variantes diferentes.
Atenuación de posibles ataques
Según los investigadores, la vulnerabilidad en los routers domésticos se encuentra en su firmware. Se debe a una deficiencia en las políticas de actualización, el parcheado por parte de los fabricantes de routers domésticos, así como a su dependencia de los proyectos de código abierto. Normalmente, estos tres componentes críticos de los routers domésticos no están protegidos, lo que los convierte en un blanco fácil para los ciberdelincuentes.
Algunos routers domésticos utilizan software antiguo y tienen pocas o ninguna política de actualización para abordar los riesgos de seguridad. También carecen de parches y actualizaciones para resolver las fallos identificados. Esto puede ser debido a la falta de financiación por parte del fabricante del router doméstico, lo que también los hace susceptibles a ataques de hackers.
Los investigadores aconsejaron a los fabricantes que ofrezcan actualizaciones automáticas para mitigar posibles ataques. Juniper dijo, “La única forma segura de solucionar este problema es exigir a los fabricantes que ofrezcan actualizaciones automáticas sin interrupciones.”
Los usuarios también pueden actualizar el firmware de su router doméstico y mantenerse informados sobre vulnerabilidades para evitar comprometer sus dispositivos. Además, el uso de una VPN en un router doméstico también puede ayudar a prevenir ciberataques.
Conclusión
Los investigadores han descubierto vulnerabilidades en los routers domésticos que pueden desencadenar ataques DDOS por parte de ciberdelincuentes. Ya se ha encontrado esta vulnerabilidad en unos 20 proveedores de routers domésticos. Los ciberatacantes lanzan estos ataques a través de la variante Mirai y afectan a todos los dispositivos conectados al router. Los usuarios necesitan actualizar su firmware y tomar otras precauciones para prevenir ataques