Fabio Assolini, investigador de Kaspersky Lab ha descrito durante el evento Virus Bulletin Conference cómo un grupo de ciberdelincuentes en Brasil ha logrado comprometer una red d 4,5 millones routers ADSL. Y cómo esto ha ocurrido durante meses sin que los usuarios fuesen conscientes del peligro.
Para realizar el ataque, se utilizaron primero dos scripts Bash y un ataque de Cross-Site Request Forgery (CSRF) para modificar la contraseña de administrador y eludir cualquier otra protección existente. A continuación, los criminales manipularon la entrada del servidor DNS del dispositivo.
Una vez comprometidos, los ordenadores de los usuarios eran
redirigidos a dominios de phishing especialmente diseñados para robar
credenciales de banca online. Según se sabe ahora, los
atacantes habían instalado hasta 40 servidores DNS para manejar esta
redirección y su actividad se ejecutó en grandes partes del espacio de
direcciones IP de Brasil. De hecho, este agujero de seguridad no es
reciente, sino que fue descubierto en marzo de 2011.
Los routers afectados, entre los que se encuentran marcas de
fabricantes tan conocidos como Comtrend y su CT-5367 ADSL, incluyen al
menos un chipset Broadcom no especificado. Algunos fabricantes han ido
lanzando actualizaciones de firmware para atajar la vulnerabilidad, lo
que en la actualidad reduce el número de routers secuestrados a unas
300.000 unidades.
Sin embargo, el peligro sigue ahí porque hay fabricantes que
no soportan routers antiguos o responden con demasiada parsimonia ante
reportes de agujeros de seguridad.
Kaspersky señala que, bajo estas circunstancias, hay muy pocas cosas
que los usuarios pueden hacer para mejorar la protección de sus routers
más allá de ajustar sus parámetros de seguridad y mantener al día
firmware y software. Esto es, a menos que su proveedor les facilite un
modelo de router mejor.
No hay comentarios:
Publicar un comentario