Así han hackeado cerca de 20000 routers para lanzar ataques DDoS

En muchas ocasiones hemos tratado cuestiones importantes que habitualmente pasan desapercibidas como es el contar con equipamiento profesional en nuestras comunicaciones de red, así como la gestión eficiente y productiva del mantenimiento necesario. Normalmente, esto que hemos oído muchas veces, siempre lo ejemplificamos con hipotéticos problemas futuros a los que quizá no atribuyamos un riesgo tangible pero, precisamente, hoy recogemos una noticia de hace apenas unos días que es un magnífico ejemplo:

«Un grupo de hackers infecta 18.000 routers Huawei en 24 horas»

Protege tu negocio con un socio especializado

Podría parecer una noticia más, pero lo realmente grave es que el agujero de seguridad que explota este ataque fue publicado y corregido hace 7 meses. Durante todo este tiempo, decenas de miles de equipos han sido vulnerables y han estado expuestos. En este caso se ha detectado rápidamente porque la infección ha sido masiva en muy pocas horas, pero de otra forma, podría haber pasado desapercibida durante mucho más tiempo.
 

El router residencial Huawei HG532 con firmware personalizado era el objetivo

 
El modelo de router afectado es el HG532, un aparato de gama residencial de Huawei. Sólo presentaba este problema en versiones específicas para algunos operadores con firmwares personalizados, otro punto importante a tener en cuenta. Los firmwares personalizados por los operadores generalistas suelen ser peor mantenidos y menos actualizados que los oficiales del propio fabricante. De hecho, en este caso, el oficial no era vulnerable.

El ataque consistía en enviar peticiones al puerto 37215 del router para lograr la ejecución de código arbitrario en el dispositivo. Existe más información al respecto, con algunos ejemplos del payload del ataque en los siguientes enlaces para los más curiosos:

• Definición del ataque.
• Comunicado oficial de Huawei.
• Ejemplos del código utilizado en el ataque y más información a cargo de Check Point Research.

Dispositivos IoT, entre los más atacados para la formación de botnets

 
¿Cuál era el objetivo de esta nueva infección? De nuevo uno de los negocios más rentables y más “oscuros” de Internet, el de los ataques de denegación de servicio (DDoS). 

Del mismo modo que muchos servicios habituales son ofrecidos en formato de pago por uso, como por ejemplo, el de servidores Cloud, donde se tarifica por minutos el uso de CPU, memoria RAM y disco duro, existen grupos de hackers que ofrecen ataques de denegación de servicio distribuido en ese mismo formato: cobran por el volumen del tráfico que se genere, el número de destinos y el tiempo de duración. Obviamente, los atacantes no contratan legalmente equipos conectados a Internet para llevar a cabo estos ataques bajo pago, y lo que pretenden es infectar equipos en volúmenes muy altos para así formar una botnet y que el ataque sea efectivo, además de lo menos controlable posible. En este caso, tratar de bloquear el tráfico de 18.000 equipos, de diversos operadores repartidos por todo el mundo sería un problema realmente serio. De hecho, el propio fabricante aconsejaba integrar soluciones de filtrado en el lado del proveedor de Internet para mitigar este tipo de ataques, algo que lamentablemente no es muy habitual.
 

 
Es notable el cambio de tendencia en los objetivos de estos ataques. En un primer momento los objetivos para formar botnets solían ser servidores, dadas sus buenas condiciones de conexión y estar siempre disponibles, pero resultaba fácil protegerlos. Ante esto, las infecciones solían apuntar a equipos de sobremesa, menos vigilados y peor mantenidos, pero también menos eficientes y no siempre disponibles. Además, la gestión automática de parches de seguridad por parte de la mayoría de sistemas operativos solía cortar las infecciones. A día de hoy, los objetivos son precisamente dispositivos de Internet de las Cosas (IoT) y, todavía más cotizados, routers.

Los routers resultan especialmente complejos de proteger, ya que son la primera barrera en nuestra conexión a Internet. Estos dispositivos protegen al resto de nuestros dispositivos pero sin ningún mecanismo por encima que sirva de contención salvo los que pueda implementar el operador. Además, normalmente están siempre conectados y, con la proliferación de las conexiones de fibra residencial, cada vez cuentan con más ancho de banda, lo que los convierte en objetivos perfectos de las botnet.

Es fundamental que todo nuestro equipamiento de red sea de gama profesional en entornos profesionales y que siempre cuente con el soporte y mantenimiento adecuado.