Se ha explotado un fallo de derivación de autenticidad que afecta a millones de routers

Apenas tres días después de su divulgación, los ciberatacantes están secuestrando routers domésticos de 20 proveedores e ISP para añadirlos a una red de bots Mirai utilizada para realizar ataques DDoS.

Según los investigadores, se está explotando activamente una vulnerabilidad para eludir la autenticación que afecta a varios routers y dispositivos de Internet de las Cosas (IoT).

El fallo de seguridad, rastreado como CVE-2021-20090, fue revelado la semana pasada por investigadores de Tenable. Afecta a dispositivos de 20 proveedores e ISP diferentes (ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon y Vodafone), todos los cuales utilizan el mismo firmware de Arcadyan. En total, millones de dispositivos en todo el mundo podrían ser vulnerables.

Tenable demostró en una prueba de concepto (PoC) que es posible modificar la configuración de un dispositivo para habilitar Telnet en un router vulnerable y obtener acceso shell de nivel raíz al dispositivo.

«La vulnerabilidad existe debido a una lista de carpetas que entran en una ‘lista de derivación’ para la autenticación», según el aviso de Tenable del 3 de agosto. «Para la mayoría de los dispositivos de la lista, eso significa que la vulnerabilidad puede ser activada por múltiples rutas. Para un dispositivo en el que http:///index.htm requiere autenticación, un atacante podría acceder a index.htm utilizando las siguientes rutas:

  • http://<ip>/images/..%2findex.htm
  • http://<ip>/js/..%2findex.htm
  • http://<ip>/css/..%2findex.htm

«Para que las páginas se carguen correctamente, habrá que utilizar la configuración de coincidencia/reemplazo del proxy para asegurarse de que cualquier recurso cargado que requiera autenticación también aproveche el path traversal», continúa el aviso.

Explotado para propagar la variante Mirai

Actualidad Alerta: nueva variante de malware Mirai - siliconweek.com

Apenas tres días después de la revelación, el viernes, los investigadores de ciberseguridad de Juniper Networks dijeron que habían descubierto la explotación activa del fallo.

«Hemos identificado algunos patrones de ataque que intentan explotar esta vulnerabilidad in the wild procedentes de una dirección IP ubicada en Wuhan, provincia de Hubei, China», escribieron en un post. «El atacante parece estar intentando desplegar una variante de Mirai en los routers afectados».

En el PoC de Tenable, los atacantes modifican la configuración del dispositivo atacado para habilitar Telnet usando «ARC_SYS_TelnetdEnable=1» para tomar el control, según Juniper. Luego, proceden a descargar la variante Mirai desde un servidor de comando y control (C2) y la ejecutan.

Mirai es una red de bots de larga duración que infecta dispositivos conectados y puede utilizarse para montar ataques de denegación de servicio distribuidos (DDoS). Irrumpió en escena en 2016, cuando sobrecargó los servidores de la empresa de alojamiento web Dyn, haciendo caer más de 1.200 sitios web, entre ellos Netflix y Twitter. Su código fuente se filtró a finales de ese año, tras lo cual empezaron a aparecer múltiples variantes de Mirai, en un aluvión que continúa hasta hoy.

Según Juniper, algunos de los scripts del actual conjunto de ataques se asemejan a la actividad observada anteriormente en febrero y marzo.

«La similitud podría indicar que el mismo actor de la amenaza está detrás de este nuevo ataque e intenta actualizar su arsenal de infiltración con otra vulnerabilidad recién revelada», escribieron los investigadores. «Teniendo en cuenta que la mayoría de la gente puede ni siquiera ser consciente del riesgo de seguridad y no va a actualizar su dispositivo en breve, esta táctica de ataque puede ser muy exitosa, barata y fácil de llevar a cabo».

Además del fallo del router, los investigadores de Juniper observaron las siguientes vulnerabilidades conocidas que se explotan para obtener acceso inicial a los dispositivos de destino:

De hecho, los atacantes han estado añadiendo continuamente nuevos exploits a su arsenal, según la publicación, y es poco probable que el CVE-2021-20090 sea el último.

«Está claro que los actores de las amenazas mantienen un ojo en todas las vulnerabilidades divulgadas», concluyeron los investigadores. «Cada vez que se publica un exploit PoC, suelen tardar muy poco en integrarlo en su plataforma y lanzar los ataques».

Mitigación

Para evitar el peligro, los usuarios deben actualizar el firmware del router.

“In the case of IoT devices or home gateways, the situation is much worse as most users are not tech-savvy and even those who are do not get informed about potential vulnerabilities and patches to apply,” according to Juniper. “The only sure way to remedy this issue is to require vendors to offer zero-down-time automatic updates.”

Fuente: threatpost

Comments are closed.