Un programa auto-Replicante está infectando routers Linksys aprovechando una vulnerabilidad de autenticación por pasos en varios modelos de línea de productos E-series del vendedor. Investigadores del Internet Storm Center (ISC) emitió una alerta el día miércoles sobre los incidentes donde los routers de Linksys E1000 y E1200 habían sido comprometidos y escaneaba otros rangos de direcciones IP (Internet Protocol) en los puertos 80 y 8080 del Instituto SANS.

El jueves los investigadores de ISC lograron capturar el malware responsable de la actividad de exploración en uno de los honeypots–sistemas intencionalmente dejados expuesto para ser atacado.

Los ataques parecen ser el resultado de un gusano–un programa auto-Replicante — que compromete routers Linksys y luego usa esos routers para escanear otros dispositivos vulnerables.

“En este momento, somos conscientes de un gusano que se está extendiendo entre los distintos modelos de routers Linksys,”, dijo Johannes Ullrich, el chief technology officer de SANS ISC, en un post del blog.

“No tenemos una lista definitiva de routers que son vulnerables, pero los siguientes routers pueden ser vulnerables, según la versión del firmware: E4200 E3200 E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.”

El gusano, que ha sido apodado “The moon” debido a que contiene el logo de Industries Moon, una empresa ficticia de la película del 2009 “The Moon”, comienza por solicitar una URL /HNAP1/ de los dispositivos detrás de las direcciones IP escaneadas. HNAP– El administrador de protocolo de red Home–fue desarrollado por Cisco y permite la identificación, configuración y administración de dispositivos en red. El gusano envía la solicitud HNAP para identificar el modelo del router y la versión del firmware. Si se determina que un dispositivo es vulnerable, envía otra solicitud a un script CGI en particular que permite la ejecución de comandos locales en el dispositivo.

El SANS no ha divulgado el nombre de la secuencia de comandos CGI porque contiene una vulnerabilidad de autenticación bypass. “La solicitud no requiere autenticación”, dijo Ullrich.

“El gusano envía las credenciales al azar ‘admin’ pero no se incorporan por la secuencia de comandos”.

El gusano aprovecha esta vulnerabilidad para descargar y ejecutar un archivo binario en formato ELF (ejecutable y Linkable) compilado para la plataforma MIPS. Cuando se ejecuta en un nuevo router, este binario comienza la exploración de nuevos dispositivos a infectar. También abre un servidor HTTP en un puerto aleatorio de numeración baja y lo utiliza para servir una copia de sí mismo a los objetivos identificados recientemente. El binario contiene una lista codificada de 670 intervalos de direcciones IP que analiza, dijo Ullrich.

“Todos parecen relacionarse con el módem de cable o DSL ISPs en varios países”.

¿Cuál es el propósito del malware de separarse para distintos dispositivos adicionales?, esto no es claro. Hay algunas cadenas en el archivo binario que sugieren la existencia de un servidor de comando y control, que haría que la amenaza sea por una botnet que los atacantes controlan remotamente. Linksys es consciente de la vulnerabilidad en algunos routers E-series y está trabajando en una solución, dijo Mike Duin, un portavoz de Linksys propietario de Belkin, en un correo electrónico el día viernes.

Ullrich describió varias estrategias de mitigación en los comentarios en la entrada del blog.

En primer lugar, los enrutadores que no estén configurados para la administración remota no están expuestos directamente a este ataque. Si un router necesita ser administrado remotamente, restrinja el acceso a la interfaz administrativa por dirección IP esto le ayudará a reducir el riesgo, dijo Ullrich. Cambia el puerto de la interfaz a algo que no sea 80 o 8080, también evitará este ataque en concreto, mencionó.

Fuente: infoworld

Anuncios