Uno de los routers
que utiliza Orange para sus clientes con ADSL, el Huawei HG532, está sufriendo
ataques de la botnet Mirai. Como sabemos, se trata de un malware cuyo fin es
infectar los dispositivos del conocido como Internet de las Cosas. Infecta,
entre otros, routers y cámaras IP. En el caso del router de Orange lo infecta
mediante el protocolo UPnP. Cuando lo logra, el aparato puede utilizarse para
ataques de denegación de servicios (DDoS).
Ataque hacia el router Huawei HG532
Entre los ataques de
la botnet Mirai se encuentran algunos de los más grandes de la historia del
tipo DDoS. Por ello este ataque que afecta a los routers Huawei HG532, que utiliza
Orange para el ADSL, pone en jaque a muchos usuarios.
El objetivo de Huawei
era que su router Home Gateway fuera simple y sin fisuras para poder integrarse
en redes tanto domésticas como corporativas. Es por ello que utiliza el
protocolo UPnP, que, como hemos mencionado, infecta la botnet Mirai. Este
protocolo, Universal Plug and Play, funciona a través del estándar de informe
técnico TR-064.
Este informe está
diseñado para la configuración de red local. En la práctica permite a un
ingeniero implementar la configuración básica del dispositivo, actualizaciones
de firmware y otras características dentro de la red interna.
El problema que se ha
descubierto es que la implementación TR-064 en dispositivos Huawei
desafortunadamente permite a los atacantes remotos ejecutar comandos en el
dispositivo. Esto pone en riesgo a los usuarios de ADSL de Orange que utilicen
este dispositivo para conectarse a Internet.
Actualización del firmware
Tan pronto como se
confirmaron los hallazgos, la vulnerabilidad fue revelada a Huawei para
intentar evitar que el problema fuera a más. Gracias a la comunicación rápida y
efectiva del equipo de seguridad de Huawei, la empresa pudo corregir
rápidamente la vulnerabilidad y actualizar a sus clientes.
Desde Huawei
recomiendan a todos los usuarios que tengan este router activar el firewall del
equipo. Ha liberado una nueva versión del firmeware a los diferentes
proveedores de Internet.
Según informan los
analistas de Check Point, los ataques que utilizaban la vulnerabilidad
desconocida en los routers Huawei HG532 afecta a países de todo el mundo. Sin
embargo señalan que Estados Unidos, Alemania, Italia o Egipto han sido algunos
de los más afectados.
Identidad del atacante
En un principio se
desconocía la identidad del autor de estos ataques. Era difícil de descubrirlo
ya que se ocultó detrás de una gran cantidad de volumen de tráfico y múltiples
direcciones de ataque. Sin embargo Check Point descubrió que el atacante estaba
detrás del apodo Nexus Zeta. Se trata de un hacker amateur, ya que participaba
en diferentes foros de hacking. Buscaba abiertamente asesoramiento para
construir botnets.
Por tanto, lo
recomendable es que los usuarios que tengan este router lo actualicen
inmediatamente. Como hemos mencionado, Orange lo utiliza para sus clientes de
ADSL. No es una buena publicidad para la compañía, como podemos imaginar. Ahora
mismo los usuarios de este dispositivo son vulnerables.
Actualización con información de Orange:
No hay afectados
entre los clientes de Orange (pues el firmware utilizado no tiene esta
vulnerabilidad) y solo se ha detectado una treintena en equipos HG532x de
Jazztel, por lo que el impacto es mínimo. Para ser afectado por esta
vulnerabilidad el cliente ha de haber desactivado voluntaria y manualmente el
firewall, por lo que se les va a informar de que lo activen de nuevo para
solucionarlo.
Fuente: Check Point