Mal de muchos, consuelo de pocos. Por desgracia para los usuarios de algunos operadores, no es la primera vez que asistimos a un episodio como este. Hace más de 4 años, expertos en seguridad reportaron que la seguridad de los routers de ZyXEL no era la más adecuada. Pasan los años y parece que desde el fabricante no aprenden, detectando de nuevo un fallo de seguridad masivo en los modelos que utilizan algunos operadores.
Para ser más exactos, el problema es que estos equipos están secuestrados por un malware, vinculando el dispositivo a una botnet con una finalidad aún por determinar. Seguro que si mencionamos el nombre Mirai resulta un nombre familiar. Hemos hablado en varias ocasiones de ella, sobre todo a lo largo de este año. Fue a principios de año cuando su malware comenzó a afectar dispositivos IoT con seguridad deficiente. Poco después, los propietarios diversificaron aún más los objetivos, centrándose en dispositivos Windows.
Pero no contentos con ello, casi un año después, vuelven a la carga, ahora con los routers del fabricante ZyXEL. ¿Por qué desaprovechar una oportunidad tan clara?
¿Hace falta algún ejemplo? Tenemos uno que también era bastante alarmante y que sin ir más lejos afectaba a un modelo distribuido por Movistar:
Detalles del fallo de seguridad en routers Zyxel
Los encargados de confeccionar las botnets poseen software que analiza en tiempo real los puertos de red que están abiertos desde Internet. Una vez verificado esto, utilizan diccionarios con credenciales comunes para intentar realizar login, sobre todo valiéndose de Telnet y SSH. En el caso de los routers ZyXEL, las credenciales por defecto de la gestión remota a través de Telnet son admin/CentryL1nk y admin/QwestM0dem, consiguiendo privilegios de administrador.
Tal y como indican los expertos en seguridad, se trata de una ofensiva que comenzó la pasada semana, contando por miles los routers afectados en el momento de redacción de este artículo.
Para ver el historial de ataques de los dispositivos que forman esta botnet, solo es necesario repasar las noticias de este año. Sin ir más lejos, la más sonada fue el ataque contra DynDNS que “paralizó” muchas páginas de Internet durante casi un día:
La situación es bastante extrema.Cientos de miles de routers ZyXEL permiten el control remoto del equipo con credenciales de acceso que no son seguros.
¿Cómo puedo evitar que esto suceda?
Lo primero de todo, identificar si el equipo que nos sirve acceso a Internet es de este fabricante.
En caso afirmativo, puedes llevar a cabo las siguientes acciones para minimizar los daños:
- Modificar las credenciales de acceso de las cuentas vigentes, sobre todo admin.
- Desactivar la gestión remota a través de los servicios Telnet y SSH.
- Desactivar el acceso desde fuera de la LAN al menú de configuración web
- Comprobar si existen actualizaciones de seguridad disponibles.
Relacionado con el último punto, parece poco probable que exista alguna solución a este problema. Cada vez que se ha informado de algún problema en sus dispositivos a ZyXEL, la solución ha sido mirar hacia otro lado. Por lo tanto, esperar parches de seguridad sería una pérdida de tiempo.
Realizando las otras tareas, deberíamos blindar nuestro router frente a intentos de gestión no autorizados desde el exterior.
Fuente:https://www.redeszone.net/2017/11/29/los-routers-zyxel-isp-estan-secuestrados-malware-mirai/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad