Double Door puerta
trasera en dispositivos de redDouble Door puerta trasera en dispositivos de red
La creación de
botnets es algo que se encuentra a la orden del día. Expertos en seguridad de
la compañía NewSky han encontrado una que puede saltarse los sistemas de
seguridad de los dispositivos accesibles desde Internet para anular otras
medidas de seguridad e instalar puertas traseras en los dispositivos. Estamos
hablando de DoubleDoor, una botnet que según expertos cuenta con bastante
proyección.
Para ser más
precisos, los ciberdelincuentes se están aprovechando de dos fallos de
seguridad, catalogados como CVE-2015–7755 y CVE-2016–10401. Tal y como se puede
observar, son dos fallos que son antiguos. Sin embargo, tal y como sucede en
muchas ocasiones, los responsables de actualizar los equipos no han hecho los
deberes. Esto ha provocado que los equipos continúen siendo vulnerables.
Para ser más precisos,
la primera de ellas pertenece a un fallo detectado e SmartScreen OS, disponible
en los firewalls NetScreen de Juniper Networks. La segunda vulnerabilidad
pertenece a un fallo existente en algunos modelos de modems del fabricante
Zyxel.
Servidores, equipos
de red, aplicaciones, y así hasta completar un listado amplio de “elementos”
que son susceptibles a verse afectados por fallos de seguridad y que sus
administradores no gestionan de forma correcta. En muchas ocasiones se ejecutan
versiones de librería y de firmware desactualizadas, dando lugar a estas
situaciones.
Detalles de los comienzos de la botnet
DoubleDoor
Desde NewSky han
aportado información de cómo han sido los inicios de la botnet. Indican que
todo comenzó aprovechando el fallo de seguridad existente en los equipos
NetScreen de Juniper Networks para evadir el proceso de autenticación del
firewall. Aprovechando esta vulnerabilidad, los atacantes han sido capaces de
acceder a servicios SSH y telnet de los equipos utilizando contraseñas que
estaban disponibles en el código que forma parte del firmware. Para ser más
precisos, utilizando la contraseña “<<< %s(un=’%s’) = %u”. En lo que
respecta al usuario a utilizar, no es importante. Cualquiera es válido haciendo
uso de esa contraseña, aunque no exista en el sistema
En el caso de los
modem del fabricante Zyxel, los ciberdelincuentes se han topado de nuevo con
una contraseña “hardcodeada” en el firmware de los dispositivos, permitiendo,
de la misma forma que e le caso anterior, al acceso a servicios del
dispositivo.
¿Qué implica el uso de este exploit?
De entrada, se
consigue una escalada de privilegios en el sistema. Es decir, permisos mayores
que los de un usuario de solo consulta, pero sin alcanzar permisos de
administrador. Esto permitiría modificar la configuración o desactivar las
medidas de protección existentes.
Desde NewSky indican
que la mayoría de los ataques proceden se Corea del Sur, aunque son IPs
pertenecientes a varios proxys que finalmente finalizan en un nodo de la red
Tor, donde es complicado realizar un seguimiento.
Los fabricantes salen al paso
Teniendo en cuenta la
importancia de esto y que la botnet se encuentra en una fase temprana, la
situación puede convertirse en alarmante, sobre todo porque son equipos que se
encuentran en empresas. Por este motivo, desde Zyxel han querido aclarar que
existe un parche desde diciembre del pasado año que pone punto y final al
problema. Sin embargo, esto es algo que ya hemos explicado anteriormente. Que
exista una solución no quiere decir que los administradores de esos equipos
hayan optado por su aplicación.
Fuente: HackRead