VPNFilter: La vulnerabilidad que hizo al FBI pedir que reiniciaras tu router

Hace apenas unos días una inusual noticia inundaba las redes sociales hasta el punto de generar cierta alarma social: un dañino malware podría haberse instalado en tu router.

Consigue tu guía de gestión de ciberseguridad para PYMEs

Conozco casos en los que los usuarios, aterrados, han pedido que se apague urgentemente el router de su domicilio a causa de esta grave vulnerabilidad. Los artículos decían que el mismísimo FBI instaba a todos los usuarios de routers domésticos y de pequeños negocios a reiniciar sus aparatos de inmediato. Pero, como de costumbre, lejos de atender al alcance y gravedad real del asunto, que la tiene, las páginas que se basan en conseguir “viralidad” han obviado ciertos detalles a fin de conseguir un enfoque más sensacionalista.

La famosa vulnerabilidad se conoce como VPNFilter, y fue publicada por el grupo de investigadores de Cisco Talos. En un primer momento se detectaron más de 500.000 equipos infectados en 54 países, la mayoría de ellos en Ucrania. VPNFilter es especialmente grave ya que, además de lanzar ataques DDoS puede llegar a tener capacidad para robar credenciales de sitios web, monitorizar protocolos de Modbus SCADA (lo cual pone de manifiesto la importancia de la seguridad en el ámbito IoT) e incluso puede dejar el router infectado inutilizado de forma permanente, ya sea de manera individual o a gran escala. Este malware, que también hacía vulnerable a algunos dispositivos de almacenamiento en red, se cree que fue creado por un grupo de hackers rusos conocido como Sofacy, APT28 o Fancy Bear y, según algunas fuentes, se cree que pueden depender del gobierno ruso. Mediante esta vulnerabilidad, se consigue que los dispositivos infectados formaran parte de una botnet para, entre otras cosas, lanzar ataques de ataques de denegación de servicio. De hecho, VPNFilter comparte parte de su código con BlackEnergy, otro malware ideado para atacar objetivos en Ucrania con DDoS.
 

¿Cómo funciona el malware VPNFilter?

 
Para entender mejor el malware, y la polémica acerca de si es aconsejable reiniciar el router o no, hay que comprender su comportamiento en dos etapas:

La primera de estas etapas incorpora un mecanismo de comunicación y control entre el dispositivo infectado y la red de gestión que lo propaga, descubre la IP asignada y, especialmente, consigue una huella permanente en el dispositivo que persiste a un reinicio. Algo hasta ahora nada habitual en ataques de este tipo.

La etapa número 2, que se consigue después de una primera exitosa, es la más grave de ellas, y permite las capacidades de robo de credenciales web, filtrado de información sensible, ejecución de comandos, acceso remoto al equipo y, en algunas versiones del malware, la famosa “autodestrucción” que logra escribir código en el propio firmware del dispositivo y después reiniciarlo, logrando dejarlo totalmente inservible de forma irremediable.

Esta segunda etapa no es persistente a un reinicio, y de ahí que el FBI recomiende hacerlo, ya que teniendo bajo control el dominio que gestiona la infección de la primera etapa, parece imposible que se llegue a ella.

El nivel de especialización de este malware es tal que sorprendió a los propios investigadores al llegar a incorporar una tercera etapa, que sirve como un plugin de la segunda, donde se añaden módulos a la infección logrando la ya mencionada monitorización del Modbus SCADA o la comunicación cifrada y anónima a través de la darknet Tor, entre otras muchas.

¿Está mi router infectado por VPNFilter?

 
Uno de los detalles omitidos es la lista concreta de routers infectados que se conoce hasta el momento:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Other QNAP NAS devices running QTS software
• TP-Link R600VPN

Por lo tanto, si tu modelo de router no está entre los indicados, según la información que se conoce actualmente, no se corre ningún riesgo. Recordemos que la investigación todavía no está concluida y la lista podría ampliarse.

Bajo mi punto de vista, Mikrotik destaca especialmente entre todos los demás, debido a su filosofía y al cuidado que pone en sus dispositivos. De hecho, los equipos potencialmente vulnerables pertenecen a una gama muy concreta que, además, remitiéndonos al comunicado oficial de Mikrotik, ya fue corregida hace más de un año: en concreto con RouterOS v6.38.5, publicado en marzo de 2017.
 

¿Cómo protejo los equipos de mi empresa?

 
Por lo tanto, las recomendaciones dadas por el FBI y por los investigadores de Cisco Talos son de sentido común y, en cualquier caso, aplicables y beneficiosas en cualquier circunstancia: deshabitar la administración remota del dispositivo, no utilizar nunca claves por defecto, y si se está entre la lista de routers vulnerables, reiniciar el dispositivo para tratar de evitar posibles males en el futuro.

Pero, muy especialmente, la medida crítica es tener siempre actualizado el firmware de nuestros dispositivos a la última versión estable recomendada por el fabricante, independientemente del tipo de dispositivo que sea. O, en el mejor de los casos, contar con un partner que se encargue proactivamente de cuidar este tipo de detalles de un elemento especialmente crítico para cualquier negocio de hoy en día.

Descarga gratis tu guía de ciberseguridad para PYMEs