Archivo mensual: Junio 2018

Aumentan routers afectados por VPNFilter

El malware VPNFilter, una botnet gigante que se dio a conocer hace un par de semanas y que ataca a los routers, acaba de empeorar.
Originalmente se creía que afectaba a unos 15/20 routers domésticos y dispositivos NAS fabricados por Linksys, MikroTik, Netgear, TP-Link y QNAP, ahora se sabe que también están en peligro otros 56 de Asus, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.
Talos (Cisco) obtiene esta información tratando de determinar los modelos en los que se ha detectado VPNFilter, pero dado la extensión del trabajo (hay al menos 500.000 dispositivos infectados, probablemente más), la lista posiblemente no esté completa.
La alerta actualizada confirma que VPNFilter tiene la habilidad de actuar como un man-in-the-middle interceptando el tráfico web HTTP/S, algo que la investigación realizada por SophosLabs sobre este malware había concluido que era muy probable, lo que significa que no solo es capaz de monitorizar el tráfico y capturar credenciales, sino que también potencialmente puede repartir exploits entre los dispositivos conectados a la red.
Los routers domésticos se han convertido en un objetivo importante pero un malware capaz de infectar a tantos es relativamente raro. La última amenaza que afectó a routers de varios fabricantes y que tuvo una incidencia importante probablemente fue DNSChanger, que nadie fue capaz de detectar durante años, habiendo surgido en 2007.
Como VPNFilter es mucho más potente (para comenzar no hay manera sencilla de detectarlo), suponemos que cualquier dueño de uno de los routers afectado habrá tomado las precauciones necesarias.
Pero ¿qué precauciones?
Las posibilidades de que VPNFilter infectara tu router son bajas dado el número de positivos detectados por Talos y la gran cantidad de routers domésticos. Sin embargo, es una buena idea refrescar las precauciones a tomar.
Simplemente encender y apagar el router no es suficiente. Se ha descubierto que partes de VPNFilter pueden sobrevivir este proceso y reinstaurar la infección. Esto solo deja a los dueños el realizar un reseteado completo devolviendo el router a su estado de original de fábrica.
Después de comprobar que se dispone de una conexión por cable al router, hay dos maneras de realizarlo, mientras se está conectado a Internet, o, para más seguridad, cuando se está desconectado. Si se utiliza la segunda opción deberás haber descargado la última versión del firmware del router antes de comenzar.
Si escoges la opción más sencilla el router te guiará durante todo el proceso, después deberás realizar lo siguiente:
Actualiza el firmware a la última versión. Esto es lo más importante porque últimamente los routers son objetivo de los cibercriminales por lo que requieren actualizaciones regulares.
Intenta reinstalar la configuración del router desde un fichero backup que realizaras con antelación, de este manera ahorraras mucho tiempo.
Este también es un buen momento para que cambies el nombre de usuario y contraseña del router. Además deberías chequear si el router tiene activado alguna de las siguientes opciones que deberían estar desactivadas.
Administración web remota.
Enrutamiento de puertos.
Servicios no usados como Telnet, Ping, FTP, SMB, UPnP, WPS y remoto acceso al NAS.
Activa el registro, esto te ayudará en futuras infecciones.
Si tu router no recibe actualizaciones de firmware considera la opción de comprar otro y busca un fabricante que tenga un buen historial ofreciendo actualizaciones de seguridad en un período de tiempo razonable.
En resumen, VPNFilter no es un enemigo tan fiero. No parece que utilice ninguna vulnerabilidad día cero y se aprovecha de contraseñas antiguas o débiles. Esto es un buen recordatorio de la importancia de que deberíamos tener por la seguridad de nuestros routers del mismo modo que lo tenemos por nuestros ordenadores.