A solo 10 días de revelarse 2 vulnerabilidades críticas en routers GPON, se han encontrado al menos 5 familias de botnets que explotan las fallas para construir un ejército de millones de dispositivos.

Investigadores de la firma de ciberseguridad Qihoo 360 Netlab, con sede en China, han detectado que cinco familias de botnets, incluidas Mettle, Muhstik, Mirai, Hajime y Satori, están haciendo uso del exploit de GPON en el medio.

El fabricante de routers de red óptica pasiva con capacidad de gigabit (GPON, por sus siglas en inglés) DASAN Zhone Solutions, con sede en Corea del Sur, se ha encontrado vulnerable a un bypass de autenticación (CVE-2018-10561) y a root-RCE (CVE-2018 -10562) fallas que eventualmente permiten a los atacantes remotos tomar el control total del dispositivo.

Poco después de que los detalles de las vulnerabilidades se hicieran públicos, los investigadores de Qihoo 360 Netlab encontraron la amenaza de que los actores comenzaron a explotar ambos fallos para secuestrar y agregar los routers vulnerables a sus redes de botnets.

Ahora, los investigadores han publicado un nuevo informe que detalla 5 familias de botnets que explotan activamente estos problemas:

• Mettle Botnet. El panel de comando y control y el escáner de esta botnet se encuentran en un servidor que reside en Vietnam. Los atacantes han estado utilizando un módulo de ataque Mettle de fuente abierta para implantar malware en los routers vulnerables.
• Muhstik Botnet. Esta botnet se descubrió inicialmente la semana pasada cuando explotaba activamente una falla crítica de Drupal, y ahora su última versión se ha actualizado para explotar las vulnerabilidades de GPON, junto con fallas en el firmware de JBOSS y DD-WRT.
• Mirai Botnet (nuevas variantes). GPON exploit también se ha integrado en algunas nuevas variantes (operadas por diferentes grupos de piratería) de la botnet Mirai IoT, que surgió por primera vez y fue abierta en 2016 después de que fue utilizado para lanzar ataques DDoS récord.
• Hajime Botnet. Otra botnet IoT, también se ha encontrado agregando el exploit de GPON a su código para atacar a cientos de miles de routers caseros.
• Satori Botnet. Botnet que infectó 260,000 dispositivos en solo 12 horas el año pasado, también se observó que Satori (también conocido como Okiru) incluye el exploit GPON en su última variante.

Los investigadores de vpnMentor, que descubrieron las vulnerabilidades GPON, ya informaron los problemas al fabricante del router, pero la compañía aún no ha publicado ninguna solución para los problemas, ni los investigadores creen que se esté desarrollando ningún parche, dejando a millones de sus clientes abiertos a estos operadores de botnet.

¿Que es peor? Ya se ha puesto a disposición del público un exploit de prueba de concepto (PoC) en funcionamiento para las vulnerabilidades del router GPON, lo que facilita su explotación incluso a hackers no especializados.

Por lo tanto, hasta que la empresa publique un parche oficial, los usuarios pueden proteger sus dispositivos al desactivar los derechos de administración remota y usar un firewall para evitar el acceso externo desde Internet público.

Hacer estos cambios en los routers vulnerables restringiría el acceso a la red local únicamente, dentro del alcance Wi-Fi, reduciendo así de manera efectiva la superficie de ataque al eliminar a los atacantes remotos.

Si no está seguro acerca de estas configuraciones, vpnMentor también ha proporcionado una herramienta en línea simple que modifica automáticamente la configuración de su router en su nombre, aunque no se recomienda a los usuarios que ejecuten scripts o parches de terceros en sus dispositivos.

En su lugar, los usuarios deben esperar las correcciones oficiales del fabricante del router o aplicar los cambios manualmente, cuando sea posible.

Artículos relacionados:

• Botnet de IoT burla firewalls para controlar modems ZyXEL
• La botnet Necurs encuentra nueva forma de evitar la detección
• Troyano bancario Gozi utiliza la botnet Dark Cloud para dispersarse