Un ataque generalizado a las interfaces de mantenimiento de los routers de Deutsche Telekom dejó el pasado fin de semana a 900.000 usuarios alemanes sin acceso a Internet. En un principio no se sabían los motivos de la caída, pero un informe publicado por la Oficina Federal Alemana de Seguridad de la Información (BSI) ha confirmado que se trató de un intento de añadirlos a una botnet.
Según las últimas investigaciones, publicadas por The Register, la responsable sería una versión modificada de la botnet Mirai. Para quien no lo recuerde, esta botnet es la misma que el pasado octubre fue utilizada en el ataque DDoS a Dyn, que tumbó masivamente a grandes portales como Twitter, Spotify o GitHub.
Los routers afectados, la mayoría de ellos fabricados por Zyxel y Speedport, tenían el puerto 7547 abierto, algo que suelen utilizar los proveedores para el mantenimiento remoto en caso de haber problemas. Según el SANS Internet Storm Center, el primero en informar sobre las causas del suceso, los dispositivos afectados estuvieron recibiendo nuevas órdenes de acceso cada cinco minutos.
Todo parece indicar que la versión de Mirai atacó esta interfaz de mantenimiento para tratar de adherir los 900.000 routers a una botnet, y aunque falló en su intento, en su búsqueda de vulnerabilidades provocó caídas y restricciones que los dejaron inoperativos.
Y esto podría ser sólo el principio según el investigador de seguridad Kenn White, que ha advertido en Twitter que 41 millones de routers en todo el mundo podrían tener estos puertos de mantenimiento abiertos. Eso quiere decir, teniendo en cuenta que ya se está intentando vulnerar la seguridad de ese puerto, que todos ellos son potenciales víctimas que podrían pasar a formar parte de una botnet sin darse cuenta.
Parece que el 2017 será un año movido
El ataque DDoS mediante una botnet a Dyn que hizo tambalear los cimientos de Internet podría ser sólo el pistoletazo de salida a una nueva era de ciberataques. Aún no se sabe quién hay detrás de ellos, pero sí que hemos podido ver que están experimentando con Mirai para ver hasta dónde es capaz de llegar.
Un ejemplo lo tuvimos a principios de este mes, cuando un nuevo ataque DDoS con esta botnet consiguió dejar sin Internet a un país entero. El movimiento de este fin de semana por su parte parecía dirigido a probar su capacidad para reclutar masivamente a nuevos equipos para los ataques. El intento ha fallado, pero lo lógico sería que fuesen perfeccionando la técnica y volviéndolo a intentar.
La operadora alemana ha publicado una solución, y le ha pedido a sus usuarios que apaguen sus routers para que se active una nueva actualización de seguridad al reiniciarlos. Pero con 41 millones de routers con estos puertos de mantenimiento abiertos en todo el mundo y unos atacantes que se han dado cuenta de que pueden explotarlos, parece que está lejos de ser una solución definitiva.
Vía | The Register
Imagen | KIUI
En Genbeta | Cómo saber si tu ordenador forma parte de una botnet
Ver todos los comentarios en https://www.genbeta.com
VER 1 Comentario