A finales del mes de noviembre, la firma en seguridad Checkpoint advirtió de una grave vulnerabilidad remota en routers Huawei HG532, pero no ha sido hasta esta semana, cuando se ha hecho público el análisis de la vulnerabilidad y su uso en el despliegue de una nueva botnet basada en Mirai.

El abuso de routers domésticos se ha vuelto una gran mina para los atacantes, ya que existen millones de dispositivos sin actualizar y gravemente expuestos. Es por ello que los creadores de botnets suelen centrarse en grandes fabricantes, como Huawei.
Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots
Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática.1​ El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Estas redes son usadas en general para generar dinero a través de usos que generan dinero a sus controladores.
La vulnerabilidad (CVE-2017-17215) se presentaría por unas incorrectas políticas de seguridad en la implementación del protocolo de administración remota TR-064. Un atacante podría, a través de peticiones especialmente manipuladas al puerto 37215, ejecutar comandos en el dispositivo y tomar control del mismo.
En concreto, el servicio vulnerable comentado por los investigadores de Checkpoint, sería el “DeviceUpgrade“, encargado de actualizar el dispositivo. Mediante peticiones a este servicio y la inclusión de comandos bajo los apartados ‘NewStatusURL‘ y ‘NewDownloadURL‘, se podría descargar y ejecutar código arbitrario, como se puede apreciar en la captura:

Una vez infectado el dispositivo, pasaría a formar parte de esta nueva variante de botnet Mirai, denominada por Checkpoint como OKIRU/SATORI. Según sus análisis, existirá una alta actividad de la misma en países como EEUU, Alemania, Italia o Egipto, entre otros.

Por su parte, Huawei ha publicado las contramedidas necesarias para bloquear este tipo de ataques, principalmente, activando el cortafuegos del dispositivo.

Fuente: Hispasec
Compartir