Archivos de etiquetas: NETGEAR

Aumentan routers afectados por VPNFilter

El malware VPNFilter, una botnet gigante que se dio a conocer hace un par de semanas y que ataca a los routers, acaba de empeorar.
Originalmente se creía que afectaba a unos 15/20 routers domésticos y dispositivos NAS fabricados por Linksys, MikroTik, Netgear, TP-Link y QNAP, ahora se sabe que también están en peligro otros 56 de Asus, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.
Talos (Cisco) obtiene esta información tratando de determinar los modelos en los que se ha detectado VPNFilter, pero dado la extensión del trabajo (hay al menos 500.000 dispositivos infectados, probablemente más), la lista posiblemente no esté completa.
La alerta actualizada confirma que VPNFilter tiene la habilidad de actuar como un man-in-the-middle interceptando el tráfico web HTTP/S, algo que la investigación realizada por SophosLabs sobre este malware había concluido que era muy probable, lo que significa que no solo es capaz de monitorizar el tráfico y capturar credenciales, sino que también potencialmente puede repartir exploits entre los dispositivos conectados a la red.
Los routers domésticos se han convertido en un objetivo importante pero un malware capaz de infectar a tantos es relativamente raro. La última amenaza que afectó a routers de varios fabricantes y que tuvo una incidencia importante probablemente fue DNSChanger, que nadie fue capaz de detectar durante años, habiendo surgido en 2007.
Como VPNFilter es mucho más potente (para comenzar no hay manera sencilla de detectarlo), suponemos que cualquier dueño de uno de los routers afectado habrá tomado las precauciones necesarias.
Pero ¿qué precauciones?
Las posibilidades de que VPNFilter infectara tu router son bajas dado el número de positivos detectados por Talos y la gran cantidad de routers domésticos. Sin embargo, es una buena idea refrescar las precauciones a tomar.
Simplemente encender y apagar el router no es suficiente. Se ha descubierto que partes de VPNFilter pueden sobrevivir este proceso y reinstaurar la infección. Esto solo deja a los dueños el realizar un reseteado completo devolviendo el router a su estado de original de fábrica.
Después de comprobar que se dispone de una conexión por cable al router, hay dos maneras de realizarlo, mientras se está conectado a Internet, o, para más seguridad, cuando se está desconectado. Si se utiliza la segunda opción deberás haber descargado la última versión del firmware del router antes de comenzar.
Si escoges la opción más sencilla el router te guiará durante todo el proceso, después deberás realizar lo siguiente:
Actualiza el firmware a la última versión. Esto es lo más importante porque últimamente los routers son objetivo de los cibercriminales por lo que requieren actualizaciones regulares.
Intenta reinstalar la configuración del router desde un fichero backup que realizaras con antelación, de este manera ahorraras mucho tiempo.
Este también es un buen momento para que cambies el nombre de usuario y contraseña del router. Además deberías chequear si el router tiene activado alguna de las siguientes opciones que deberían estar desactivadas.
Administración web remota.
Enrutamiento de puertos.
Servicios no usados como Telnet, Ping, FTP, SMB, UPnP, WPS y remoto acceso al NAS.
Activa el registro, esto te ayudará en futuras infecciones.
Si tu router no recibe actualizaciones de firmware considera la opción de comprar otro y busca un fabricante que tenga un buen historial ofreciendo actualizaciones de seguridad en un período de tiempo razonable.
En resumen, VPNFilter no es un enemigo tan fiero. No parece que utilice ninguna vulnerabilidad día cero y se aprovecha de contraseñas antiguas o débiles. Esto es un buen recordatorio de la importancia de que deberíamos tener por la seguridad de nuestros routers del mismo modo que lo tenemos por nuestros ordenadores.

Reinicie su router doméstico, hasta el FBI se lo recomienda

Existe un nuevo malware que rápidamente ha infectado mas de medio millón de dispositivos, por tanto dentro de las medidas mitigadoras, el FBI (agencia de seguridad interna de Estados Unidos) y empresas de seguridad aconsejan reiniciar los routers de internet domésticos junto con varios dispositivos de red que puedan estar conectados a éstos.
La amenaza fue nombrada como “VPNFilter” y ataca a dispositivos de red para uso en hogar y oficina de las marcas Linksys, MikroTik, NETGEAR y TP-Link, como también a los dispositivos de almacenamiento en red (NAS) de la marca QNAP. Todo esto de acuerdo a una investigación de Cisco.
Los expertos aún están investigando todo lo que VPNFilter es capaz de hacer, por mientras ellos saben que puede hacer dos cosas realmente bien: Robar credenciales web, y auto-destruirse. Además de dejar el dispositivo infectado inutilizable para la mayoría de los consumidores.
Los investigadores de Cisco indicaron que ellos aun no están seguros de como estos 500.000 dispositivos fueron infectados con VPNFilter, pero que la mayoría de los dispositivos blanco de este ataque tienen exploits públicos o credenciales codificadas “en duro”, lo que los vuelve un objetivo bastante asequible.
El departamento de justicia de EEUU indicó que VPNFilter es un trabajo realizado por “APT28”, el código dentro de la industria de seguridad para un grupo de hackers auspiciado por el estado ruso también conocido como “Fancy Bear” y el “Sofacy Group”. Este grupo es el mismo apuntado como responsable de la intervención en las elecciones presienciales norteamericanas de 2016.
En una publicación que el FBI envió al Internet Crime Complaint Center indica: “Actores extranjeros han comprometidos cientos de miles de routers y otros dispositivos de red en hogares y oficinas al rededor del mundo”, también que “Los atacantes usaron el malware VPNFilter para apuntar a routers pequeños de hogar y oficina. Este malware es capaz de ejecutar múltiples funciones, incluyendo la posible colecta de información, uso no autorizado del dispositivo infectado y bloqueo de tráfico de red.
Esta sería la lista, de acuerdo a Cisco, de los dispositivos afectados:
Linksys:
E1200
E2500
WRVS4400N
MikroTik routeros
1016
1036
1072
Netgear
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
Qnap
TS251
TS439 Pro
y otros NAS que ejecuten el software QTS
TP-Link
R600VPN
Desafortunadamente, no existe alguna forma simple de saber si su dispositivo está infectado. Si usted posee uno de estos dispositivos conectado a internet, debería reiniciarlo o mejor aún, desconectarle la electricidad por unos segundos para luego volver a conectar. Eso debería eliminar parte de la infección, si es que posee alguna. Claro que esto no es una solución definitiva.
Parte del código que VPNFilter utiliza puede persistir hasta el que dispositivo afectado se resetee a los valores de fábrica. Mucos módems y camaras digitales web tienen un pequeño botón algo oculto que puede ser presionado solo por algún objeto pequeño y puntudo (como un lapiz o un clip). Al mantener este botón presionado por al menos 10 segundos (o mas en algunos dispositivos) mientras esté encendido, y eso debería ser suficiente para resetear el dispositivo de vuelta a su configuración por defecto (o de fábrica). En el manual de cada dispositivo debiesen estar las intrucciones para realizar el “reset to factory settings”.
Luego de resetear el dispositivo, necesitará acceder a la configuración de éste mediante un navegador web, la interfaz de administrador de la mayoría de los routers comerciales puede que se encuentre ingresando a la dirección 192.168.1.1 o 192.168.0.1 en la barra de direcciones del navegador web. Si no puede ingresar consulte con la documentación de su dispositivo o pruebe con el comando “ipconfig” en windows, la dirección que aparece como “puerta de enlace predeterminada” (dafault gateway) en la conexión de área local debiese ser la dirección de su router.
Una vez dentro de las configuraciones modifique la clave de administrador por defecto que permite ingresar al dispositivo (algo que pueda recordar o guardar de forma segura para su utilización a futuro).
Luego es momento de encriptar la conexión si está utilizando un router inalámbrico (WiFi). La mejor opción actualmente es WPA2, la cual está disponible en la mayoría de los routers domésticos, luego de esta está WPA, y finalmente WEP; esta última no se recomienda en absoluto debido a la facilidad de intrusión mediante herramientas de libre acceso, no la utilice.
También es recomendable deshabilitar cualquier tipo de asistente de configuración o de configuración remota debido a la propensión de ser objetivo de ataques y agujeros de seguridad.
Fuente: https://krebsonsecurity.com/2018/05/fbi-kindly-reboot-your-router-now-please/