Utilizan un fallo de hace 5 años para infectar más de 100.000 routers y los ponen a enviar SPAM

Una botnet es una red de dispositivos que han sido hackeados mediante alguna vulnerabilidad o contraseña de baja calidad, y que se utilizan de manera conjunta para realizar ataques (normalmente DDoS). Un hacker ha conseguido crear una usando routers y una vulnerabilidad de hace cinco años.

Una botnet ha aprovechado una vulnerabilidad para infectar a 116 modelos de routers

La botnet fue descubierta el pasado mes de septiembre por investigadores de Netlab de Qihoo 360, una empresa de seguridad China. Según afirman, el atacante habría usado esta botnet para mandar emails de spam.

La botnet fue desarrollada en 2013, aprovechando una vulnerabilidad en el SDK del UPnP de Broadcom. Éste se usa en un gran número de routers, y permite a un atacante realizar ataques remotos y ejecutar código malicioso en los routers sin ningún tipo de autenticación. Esto hace que sea una de las peores vulnerabilidades que se pueden encontrar en un dispositivo conectado a Internet.

Aunque BCMUPnP_Hunter, que es como ha sido apodado, no es el primero que se aprovecha de esta vulnerabilidad, sí que es el primero que lo hace usando un código fuente nuevo. Muchas botnets usan código ya existente para infectar dispositivos como los del Internet de las cosas, como es el caso de Mirai. Sin embargo, los investigadores no habían visto nunca antes un código similar. En total han encontrado 116 modelos diferentes de routers afectados, la mayoría de los cuales son de ADSL, aunque también hay algunos de fibra óptica.

Los principales clientes de email, objetivo de ataques de spam

El proceso de infección requiere un proceso de varios pasos. Uno de sus componentes puede comunicarse con servidores de email como Outlook, Hotmail y Yahoo! Mail. Este es el motivo por el que los investigadores creen que la botnet se utilizaba para mandar spam a miles de direcciones de email.

El número de routers infectados ha ido creciendo exponencialmente en los últimos meses, con un potencial para llegar a 400.000 routers. En total, los investigadores recopilaron 3,37 millones de direcciones IP, aunque estas direcciones cambian constantemente y por eso creen que la cifra de routers infectados es menor. En esos escaneos, se busca primero el puerto TCP 5431, y luego el UDP 1900.

Respecto a solucionar la vulnerabilidad, desde Broadcom no han dicho nada sobre una posible solución. Entre los países más afectados por ella se encuentran China, India y Estados Unidos, pero hay dispositivos afectados por todo el mundo ya que muchos utilizan la función UPnP de desarrollada por Broadcom. UPnP es un acrónimo de Universal Plug and Play, que permite a dispositivos conectados a una misma red local conectarse entre sí. La implementación de Broadcom es una de las muchas que existen, pero al ser uno de los principales proveedores de componentes para routers del mundo, su implementación está presente en routers de compañías como ASUS, D-Link, Zyxel, ZTE, TP-Link, Netgear, etc.

Fuente: Netlab | adslzone