Las vulnerabilidades en los routers siguen apareciendo cada poco tiempo. Hace tres semanas, conocimos la existencia de una vulnerabilidad en los puertos USB de multitud de routers del mercado. Ahora hemos conocido otra grave vulnerabilidad que afecta al UPnP de los routers, y que lo convierte en una lanzadera de ataques contra otros dispositivos en red.
La vulnerabilidad ha sido descubierta por investigadores de Akamai, y ha sido bautizada como Eternal Silence. El fallo permite a un atacante abusar de Universal Plug and Play (UPnP) y convertir un router en un proxy para lanzar ataques a la vez que esconde la ubicación de los atacantes.
UPnP: abrir puertos de forma cómoda
UPnP es un protocolo opcional en los routers actuales, pero la mayoría lo tienen activado por defecto por la comodidad que aporta. Gracias a él, los dispositivos que tenemos conectados al router, ya sea por WiFi o por Ethernet, pueden abrir puertos automáticamente en el router sin que haya que ir a la configuración a abrirlos a mano.
Sin embargo, aunque es mucho más cómodo, a cambio también estamos poniendo en peligro nuestra seguridad; sobre todo si la implementación es vulnerable. En este caso, si una conexión WAN está expuesta, un atacante puede abrir puertos de manera remota en nuestro router.
Akamai afirma que ha observado a varios atacantes aprovechando esta vulnerabilidad. De los 3,5 millones de routers con UPnP que se encuentran con conexión, 277.000 son vulnerables a UPnProxy, que es como bautizaron inicialmente el origen del ataque. De ellos, 45.113 ya han sido infectados por los hackers.
Según Akamai, los atacantes buscan explotar EternalBlue y EternalRed en Windows y Linux. Ambas vulnerabilidades llevan años parcheadas, pero hay muchos dispositivos que no están actualizados al día. Si consiguen llevar a cabo con éxito el ataque, pueden instalar scripts de minado, robar contraseñas, o instalar ransomware.
Las inyecciones de código buscan abrir los puertos TCP 139 y 445 en los dispositivos conectados al router. El NAT los protegía de estas vulnerabilidades al no haber manera de acceder a ellos remotamente. Sin embargo, con este ataque se abre la puerta a una nueva oleada de dispositivos atacados.
Desde Akamai han creado un script en bash para comprobar si somos vulnerables al ataque. Si descubres algún dispositivo infectado por Eternal Silence, es necesario que resetees el dispositivo y lo dejes como estaba de fábrica, para lo cual es conveniente que uses un clip y pinches en el botón oculto que tienen los routers en la parte de atrás. Sólo así conseguirás eliminar por completo la infección. A su vez, es conveniente revisar que tenemos instalados los últimos parches de seguridad.
Listado de dispositivos vulnerables
En total encontramos 48 marcas afectadas y 120 modelos. Una de las que más modelos afectados tiene es ASUS, con multitud de modelos que se encuentran entre los más vendidos del mercado. Por ejemplo, el RT-AC66U es un producto «Amazon’s Choice«, con más de 900 reseñas. También hay multitud de modelos de D-Link, Netgear, Tenda, Ubiquiti o Zyxel, por lo que puede haber millones de personas afectadas al tratarse de routers muy populares.
El listado completo incluye routers de ASUS (DSL-AC68R, DSL-AC68U, DSL-N55U), Anker (N600), Belkin (F5D8635-4 v1, F9K1113 v5), D-Link (DIR-601, DIR-615, DIR-620, DIR-825…), Edimax (3G6200N, 3G6200NL, BR-6204WG…), MSI (RG300EX, RG300EX Lite, RG300EX Lite II), NETGEAR (R2000, WNDR3700, WNDR4300v2, WNR2000v4), OpenWRT, Sitecom (WLR-7100v1002 (X7 AC1200), WLR-1000…), Ubiquiti, ZTE o ZyXel (NBG4615 Internet Sharing Gateway, NBG5715 router, X150N Internet Gateway Device…).
Lo sentimos pero no se le permite ver el contenido Registrate.