Cuidadado: Un nuevo gusano que infecta routers/módems con Linux embebido
Fecha Sunday, 05 April a las 18:23:55
Tema Suguridad Informática


Una nueva botnet “psyb0t” es la primera de la que se tiene constancia que es capaz de infectar directamente routers y módems.

Se sospecha que la botnet se originó en Australia, ya que la primera actividad de la red se detectó allí. El consultor australiano Terry Baume observó por primera vez un router Netcomm NB5 infectado. Pueden leer su análisis completo aquí.

El código binario del gusano se analizó por los miembro del sitio web DroneBL (utilizando un tracker IP en tiempo real que busca botnets y máquinas vulnerables), y llegaron a la conclusión de que “psyb0t” o “Red Bluepill” es principalmente una prueba de concepto. Tras su descubrimiento, el operador de la botnet la desconectó rápidamente.

La primera generación del gusano estaba dirigido a un número concreto de routers, aunque la actual versión, la más reciente generación descubierta (apodada en el código como “versión 18″) se dirige a una amplia gama de dispositivos. El software malicioso está preparado para infectar más de 30 diferentes modelos de Linksys, 10 modelos de Netgear, y una gran variedad de módems.

Además, el gusano contiene una lista de 6000 nombres de usuario y 1300 contraseñas en su código, que utiliza para realizar un ataque de fuerza bruta para conseguir el acceso por Telnet y SSH. En general los routers no bloquean a un usuario después de una serie de intentos fallidos por contraseña incorrecta, haciendo posible dichos ataques por fuerza bruta.

Según DroneBL, cualquier router que utilice un procesador MIPS y ejecute el sistema operativo Linux mipsel (un simple sistema embebido para procesadores MIPS) es vulnerable si tiene la interfaz de administración del router, sshd/telnetd en un DMZ y utilizan un usuario/contraseña “débil“. DroneBL indica también que los dispositivos con el firmware open source “openwrt” y “dd-wrt” también puede ser vulnerables, además de otros routers que ejecutan el sistema operativo VxWorks.

La explotación de cualquier dispositivo de red es más útil que infectar directamente a los equipos porque la gran mayoría están funcionando las 24 horas del día, a diferencia de los PCs. El ataque a un router además permite la exploración de toda una red sin ser detectados, ya que no se aprecia ningún cambio en el ordenador, excepto quizás una reducción de la velocidad de la conexión.

El personal de DroneBL señaló que el gusano es muy difícil de detectar, y la única forma conocida sería monitorizar el trafico de red dentro y fuera del router. Según DroneBL la botnet es capaz de escanear instalaciones vulnerables de PHPMyAdmin y MySQL. También es capaz de deshabilitar el acceso a las interfaces de control de un router.

El autor del botnet, chateando anónimamente en un canal de IRC, afirmó haber tenido infectados 80.000 routers a la vez. APC está hablando con los fabricantes de routers para evaluar que modelos son los vulnerables y que deben hacer los usuarios para protegerse de este tipo de ataques.

También publicado en Historias De Queso





Este artículo proviene de Software Libre
http://www.somoslibres.org

La dirección de esta noticia es:
http://www.somoslibres.org/modules.php?name=News&file=article&sid=2561