En cuanto se detectó el problema, los expertos en seguridad de Deutsche Telekom reaccionaron para liberar de forma rápida un parche que mitigase el problema. El parche ya ha llegado a la mayoría de los routers de la compañía, sin embargo, avisan que todavía quedan dispositivos vulnerables a este tipo de ataques.

Para llevar a cabo con éxito el ataque, los hackers se aprovecharon de los fallos encontrados en la implementación del software de mantenimiento de los routers realizada por los fabricantes taiwaneses Zyxel y Arcadyan Technology, que afecta a la especificación TR-069. Esto ha permitido a los atacantes acceder por el puerto TCP/NTP 7547 para ejecutar código en remoto en los routers vulnerables, capturar el tráfico e incluso lanzar ataques DDoS a través el mismo puerto, según comenta Johannes Ullrich, decano de investigación en SANS Institute y director de SANS Internet Storm Center.

Por otro lado, un escaneo realizado con el buscador Shodan muestra que hay 41 millones de routers que tienen el puerto 7547 abierto, aunque Ullrich estima que como mucho solo 2 millones son vulnerables a ataques del tipo que nos ocupa en esta entrada.

Anteriormente, Mirai tenía aproximadamente 60 contraseñas por defecto dedicadas a romper las barreras de acceso a DVR, webcams y otros dispositivos IoT. Ahora los desarrolladores del malware han ampliado sus posibilidades, pudiendo ahora escanear para hallar contraseñas débiles, además de ser capaz de explotar con éxito aquellos routers que contengan una vulnerabilidad en la especificación TR-069.

Cuando infecta a un router, Mirai se encarga de borrarse a sí mismo para quedarse alojado en memoria y luego recibir órdenes a través de un mando y control utilizando la DNS 8.8.8.8, perteneciente a Google, además de ir escaneando Internet para hallar otros routers que tengan el puerto 7547 abierto con el fin de infectarlos.

Para los que anden despistados, Mirai es básicamente el troyano utilizado para realizar el ataque DDoS contra las DNS de Dyn, que se llevó por delante el acceso a sitios web relevantes de Internet como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

 

Fuente: ThreatPost | muyseguridad