Archivo mensual: Mayo 2018

Reinicie su router doméstico, hasta el FBI se lo recomienda

Existe un nuevo malware que rápidamente ha infectado mas de medio millón de dispositivos, por tanto dentro de las medidas mitigadoras, el FBI (agencia de seguridad interna de Estados Unidos) y empresas de seguridad aconsejan reiniciar los routers de internet domésticos junto con varios dispositivos de red que puedan estar conectados a éstos.
La amenaza fue nombrada como “VPNFilter” y ataca a dispositivos de red para uso en hogar y oficina de las marcas Linksys, MikroTik, NETGEAR y TP-Link, como también a los dispositivos de almacenamiento en red (NAS) de la marca QNAP. Todo esto de acuerdo a una investigación de Cisco.
Los expertos aún están investigando todo lo que VPNFilter es capaz de hacer, por mientras ellos saben que puede hacer dos cosas realmente bien: Robar credenciales web, y auto-destruirse. Además de dejar el dispositivo infectado inutilizable para la mayoría de los consumidores.
Los investigadores de Cisco indicaron que ellos aun no están seguros de como estos 500.000 dispositivos fueron infectados con VPNFilter, pero que la mayoría de los dispositivos blanco de este ataque tienen exploits públicos o credenciales codificadas “en duro”, lo que los vuelve un objetivo bastante asequible.
El departamento de justicia de EEUU indicó que VPNFilter es un trabajo realizado por “APT28”, el código dentro de la industria de seguridad para un grupo de hackers auspiciado por el estado ruso también conocido como “Fancy Bear” y el “Sofacy Group”. Este grupo es el mismo apuntado como responsable de la intervención en las elecciones presienciales norteamericanas de 2016.
En una publicación que el FBI envió al Internet Crime Complaint Center indica: “Actores extranjeros han comprometidos cientos de miles de routers y otros dispositivos de red en hogares y oficinas al rededor del mundo”, también que “Los atacantes usaron el malware VPNFilter para apuntar a routers pequeños de hogar y oficina. Este malware es capaz de ejecutar múltiples funciones, incluyendo la posible colecta de información, uso no autorizado del dispositivo infectado y bloqueo de tráfico de red.
Esta sería la lista, de acuerdo a Cisco, de los dispositivos afectados:
Linksys:
E1200
E2500
WRVS4400N
MikroTik routeros
1016
1036
1072
Netgear
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
Qnap
TS251
TS439 Pro
y otros NAS que ejecuten el software QTS
TP-Link
R600VPN
Desafortunadamente, no existe alguna forma simple de saber si su dispositivo está infectado. Si usted posee uno de estos dispositivos conectado a internet, debería reiniciarlo o mejor aún, desconectarle la electricidad por unos segundos para luego volver a conectar. Eso debería eliminar parte de la infección, si es que posee alguna. Claro que esto no es una solución definitiva.
Parte del código que VPNFilter utiliza puede persistir hasta el que dispositivo afectado se resetee a los valores de fábrica. Mucos módems y camaras digitales web tienen un pequeño botón algo oculto que puede ser presionado solo por algún objeto pequeño y puntudo (como un lapiz o un clip). Al mantener este botón presionado por al menos 10 segundos (o mas en algunos dispositivos) mientras esté encendido, y eso debería ser suficiente para resetear el dispositivo de vuelta a su configuración por defecto (o de fábrica). En el manual de cada dispositivo debiesen estar las intrucciones para realizar el “reset to factory settings”.
Luego de resetear el dispositivo, necesitará acceder a la configuración de éste mediante un navegador web, la interfaz de administrador de la mayoría de los routers comerciales puede que se encuentre ingresando a la dirección 192.168.1.1 o 192.168.0.1 en la barra de direcciones del navegador web. Si no puede ingresar consulte con la documentación de su dispositivo o pruebe con el comando “ipconfig” en windows, la dirección que aparece como “puerta de enlace predeterminada” (dafault gateway) en la conexión de área local debiese ser la dirección de su router.
Una vez dentro de las configuraciones modifique la clave de administrador por defecto que permite ingresar al dispositivo (algo que pueda recordar o guardar de forma segura para su utilización a futuro).
Luego es momento de encriptar la conexión si está utilizando un router inalámbrico (WiFi). La mejor opción actualmente es WPA2, la cual está disponible en la mayoría de los routers domésticos, luego de esta está WPA, y finalmente WEP; esta última no se recomienda en absoluto debido a la facilidad de intrusión mediante herramientas de libre acceso, no la utilice.
También es recomendable deshabilitar cualquier tipo de asistente de configuración o de configuración remota debido a la propensión de ser objetivo de ataques y agujeros de seguridad.
Fuente: https://krebsonsecurity.com/2018/05/fbi-kindly-reboot-your-router-now-please/