Botnet Party con los enrutadores GPON vulnerables
Al menos cinco botnets IoT luchan entre ellas e intentan infectar enrutadores Dasan GPON, según la firma china de seguridad cibernética Qihoo 360 Netlab.
Los cinco botnets son conocidos bajo nombres clave como Hajime, Mettle, Mirai, Muhstik y Satori.
Los dispositivos que están tratando de tomar son enrutadores con capacidad GPON fabricados por el proveedor surcoreano Dasan. GPON significa Gigabit Passive Optical Network y es un tipo de tecnología de telecomunicaciones para admitir conexiones de internet a través de líneas de fibra óptica.
A principios de este mes, los investigadores de seguridad revelaron dos vulnerabilidades (CVE-2018-10561 y CVE-2018-10562) en estos dispositivos que los atacantes podrían explotar y hacerse cargo de los enrutadores. Las vulnerabilidades fueron rápidamente atacadas.
Ninguno de los cinco botnets están "infectando" a los enrutadores
Ahora, los investigadores de Netlab, quienes detectaron los primeros intentos de pirateo informático, dicen que los ataques que explotan estos defectos y que apuntan a los enrutadores Dasan GPON se han intensificado a medida que se unieron más botnets al redil.
Pero en lo que equivale a una comedia de errores, ninguno de los cinco botnets son en realidad dispositivos infectados. Según Netlab, las hazañas de cuatro botnets (Hajime, Mirai, Muhstik y Satori) contienen errores y están rotas, lo que impide que las botnets pongan los enrutadores bajo su control.
El exploit de Mettle funciona, pero Netlab dice que el servidor de comando y control del botnet se cayó y que el único botnet capaz de infectar los enrutadores Dason GPON parece haberse tomado un descanso en el peor momento posible.
Netlab trabajando para eliminar al menos una de estas botnets
Pero los investigadores de Netlab no pierden el tiempo esperando que estas botnets arreglen su código. Actualmente, la firma china está trabajando para que se derribe al menos una de estas botnets.
"Estamos tomando acciones conjuntas con la comunidad de seguridad para cerrar partes de los servidores de Muhstik", dijo un portavoz de Netlab.
Dasan dice que al menos 240,000 dispositivos están afectados
En cuanto al proveedor de enrutadores, Dasan también ha estudiado este asunto después del informe inicial, que afirmaba que más de un millón de enrutadores estaban expuestos a piratas informáticos.
El número original de dispositivos afectados se informó en base a una consulta de búsqueda genérica de Shodan, lo que significa que muchos dispositivos que pueden no haber sido vulnerables a los dos exploits también se incluyeron en los resultados de búsqueda.
La compañía le dijo que solo "la serie ZNID-GPON-25xx y ciertas ONT de GPON serie H640, cuando operan en versiones de software específicas, se ven afectadas por esta vulnerabilidad", y no todos sus dispositivos habilitados para GPON.
"Después de una investigación interna, hemos determinado que el impacto potencial es mucho más limitado de lo que se informó anteriormente en los medios", dijo un portavoz de Dasan.
"De acuerdo con los registros de ventas de DZS, combinados con los datos de campo recopilados hasta la fecha, hemos estimado que la cantidad de unidades GPON ONT que podrían verse potencialmente afectadas es inferior a 240,000".
La compañía también dice que este número puede ser incluso más pequeño, ya que los dispositivos vulnerables a los dos exploits son bastante viejos (lanzados en 2009) y muchos pueden haber sido reemplazados por enrutadores Dasan GPON más nuevos que no se ven afectados por estos dos defectos, pero aún así pueden ser incluidos en los resultados de búsqueda de Shodan.
No hay parche oficial, pero hay una alternativa
En cuanto a parchear los dispositivos afectados, Dasan no ve que esto ocurra, al menos no ahora.
"El DZS ZNID-GPON-25xx y ciertas ONT de la serie H640, incluido el software que introdujo esta vulnerabilidad, fueron desarrollados por un proveedor OEM y revendidos por DZS", dijo el portavoz de Dasan.
"Aunque se diseñaron y lanzaron hace más de 9 años, la mayoría de estos productos ya han pasado su vida útil sostenible. Debido a que ya no se ofrecen contratos de soporte de software para la mayoría de estos productos, no tenemos una idea directa del número total de unidades que todavía se usan activamente en la acatualidad".
Dasan también agregó que han informado a todos los clientes que compraron los modelos afectados sobre los defectos descubiertos.
"Estamos trabajando con cada cliente para ayudarlo a evaluar los métodos para abordar el problema de las unidades que aún pueden instalarse en el campo. Dependerá de cada cliente decidir cómo abordar la condición de su equipo desplegado". Dasan dijo.
Mientras tanto, los investigadores que descubrieron esta fallo han lanzado un parche no oficial para mitigar la amenaza. Los propietarios de los enrutadores afectados deben tener un experto en seguridad que verifique de forma independiente el código del parche antes de instalarlo en sus enrutadores.