Hackean 4,5 millones de routers ADSL en Brasil

Fabio Assolini, investigador de Kaspersky Lab ha descrito durante el evento Virus Bulletin Conference cómo un grupo de ciberdelincuentes en Brasil ha logrado comprometer una red d 4,5 millones routers ADSL. Y cómo esto ha ocurrido durante meses sin que los usuarios fuesen conscientes del peligro.

Para realizar el ataque, se utilizaron primero dos scripts Bash y un ataque de Cross-Site Request Forgery (CSRF) para modificar la contraseña de administrador y eludir cualquier otra protección existente. A continuación, los criminales manipularon la entrada del servidor DNS del dispositivo.

Una vez comprometidos, los ordenadores de los usuarios eran redirigidos a dominios de phishing especialmente diseñados para robar credenciales de banca online. Según se sabe ahora, los atacantes habían instalado hasta 40 servidores DNS para manejar esta redirección y su actividad se ejecutó en grandes partes del espacio de direcciones IP de Brasil. De hecho, este agujero de seguridad no es reciente, sino que fue descubierto en marzo de 2011.

Los routers afectados, entre los que se encuentran marcas de fabricantes tan conocidos como Comtrend y su CT-5367 ADSL, incluyen al menos un chipset Broadcom no especificado. Algunos fabricantes han ido lanzando actualizaciones de firmware para atajar la vulnerabilidad, lo que en la actualidad reduce el número de routers secuestrados a unas 300.000 unidades.

Sin embargo, el peligro sigue ahí porque hay fabricantes que no soportan routers antiguos o responden con demasiada parsimonia ante reportes de agujeros de seguridad.

Kaspersky señala que, bajo estas circunstancias, hay muy pocas cosas que los usuarios pueden hacer para mejorar la protección de sus routers más allá de ajustar sus parámetros de seguridad y mantener al día firmware y software. Esto es, a menos que su proveedor les facilite un modelo de router mejor.