Las vulnerabilidades que afectan a más de un millón de routers Dasan GPON están ahora bajo ataque
Dos vulnerabilidades que afectan a más de un millón de enrutadores y que se divulgaron a principios de esta semana, ahora están siendo atacadas por las botnets, que intentan reunir los dispositivos vulnerables bajo su control.
Los ataques comenzaron ayer, jueves 3 de mayo, según Netlab, la división de seguridad de red del proveedor chino de seguridad cibernética Qihoo 360.
It did not take long for miscreant to spot and add this to their weapon library, we have captured activity utilizing CVE-2018-10561 CVE-2018-10562 with an active C2 up and running in VN. We will share more details soon. https://t.co/I7lE3gRWr5
— 360 Netlab (@360Netlab) 3 de mayo de 2018
La explotación de estos dos defectos comenzó después del lunes 30 de abril, un investigador anónimo publicó detalles de las dos vulnerabilidades a través del blog de VPNMentor.
Los hacks simples exponen los enrutadores Dasan GPON
Sus hallazgos detallan dos fallas: una derivación de autenticación (CVE-2018-10561) y una vulnerabilidad de ejecución remota de código (CVE-2018-10562).
La vulneabilidad más absurda de estas estos dos fallos es el primero, que básicamente permite que cualquiera acceda a la configuración interna del enrutador al agregar la cadena "?images" a cualquier URL, dando efectivamente a todo el mundo el control sobre la configuración del enrutador.
Al combinar estos dos problemas, el investigador anónimo dijo que pudo eludir la autenticación y ejecutar código en dispositivos vulnerables. Un video de VPNMentor resume los hallazgos.
Más de un millón de enrutadores disponibles en línea
Estas vulnerabilidades afectan a los enrutadores con capacidad GPON fabricados por el proveedor surcoreano Dasan. GPON significa Gigabit Passive Optical Network y es un tipo de tecnología de telecomunicaciones para admitir conexiones a internet domésticas a través de líneas de fibra óptica. Como tal, estos dispositivos se proporcionan principalmente a proveedores de servicios de Internet (ISP), quienes luego los distribuyen a sus clientes.
El investigador dijo que pudo identificar más de un millón de los dispositivos vulnerables desplegados en línea, la mayoría de los cuales están ubicados en grandes porciones en México, Kazajstán y Vietnam, países donde los ISP han desplegado su infraestructura sobre los dispositivos Dasan GPON.
Los investigadores de 360 Netlab dijeron que han identificado un botnet que opera desde un servidor de comando y control ubicado en Vietnam que actualmente está explorando e intentando explotar estos dispositivos. La compañía prometió información más detallada sobre estos ataques en los próximos días, en su blog.