VPNFilter también puede infectar dispositivos ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE

El malware VPNFilter que infectó a más de 500,000 enrutadores y dispositivos NAS en 54 países durante los últimos meses es mucho peor de lo que se pensaba.

Según los nuevos detalles técnicos de investigación publicados por el equipo de seguridad de Cisco Talos, el malware (que inicialmente se pensó que podía infectar dispositivos de Linksys, MikroTik, Netgear, TP-Link y QNAP) también puede infectar enrutadores fabricados por ASUS. D-Link, Huawei, Ubiquiti, UPVEL y ZTE.

La lista de dispositivos vulnerables a VPNFilter ha visto un salto brusco desde el informe original de Cisco, pasando de 16 modelos de dispositivos a 71 y posiblemente más. La lista completa está incrustada en la parte inferior de este artículo.

Nuevos complementos de VPNFilter

Además, los investigadores también descubrieron nuevas capacidades de VPNFilter, empaquetadas como complementos de tercera etapa, como parte del sistema de implementación de tres etapas del malware.

Los expertos de Cisco dijeron que descubrieron los siguientes dos nuevos complementos de la tercera etapa:

  • ssler: plugin para interceptar y modificar el tráfico web en el puerto 80 a través de ataques man-in-the-middle. El complemento también admite la degradación de HTTPS a HTTP.
  • dstr: complemento para sobrescribir los archivos de firmware del dispositivo. Cisco sabía que VPNFilter podría borrar el firmware del dispositivo, pero en su informe reciente identificó esta función con este complemento específico de tercera etapa.

Estos dos nuevos complementos se suman a los dos ya conocidos:

  • ps: complemento que puede detectar paquetes de red y detectar ciertos tipos de tráfico de red. Cisco cree que este complemento se usó para buscar paquetes Modbus TCP / IP, a menudo utilizados por software industrial y equipos SCADA, pero en su informe más reciente afirma que el complemento también buscará equipos industriales que se conecten a través de redes privadas virtuales TP-Link R600. bien.
  • tor: plugin utilizado por VPNFilter bots para comunicarse con un servidor de comando y control a través de la red Tor.

Los detalles técnicos sobre el malware VPNFilter, en general, están disponibles en el primer informe de Cisco. Los detalles sobre los complementos de tercera etapa ssler, dstr y ps están disponibles en un informe publicado ayer.

Se descubrió que la botnet VPNFilter tiene dispositivos infectados en todo el mundo, pero los investigadores han hecho públicos sus hallazgos cuando detectaron la botnet preparando un ciberataque en la infraestructura de TI de Ucrania. Muchos creían que el ataque cibernético se suponía que tendría lugar el día de la final de fútbol de la UEFA Champions League, que se celebró en Kiev, Ucrania, a fines de mayo.

El FBI intervino para neutralizar la botnet al tomar el control de su servidor de comando y control. Sin embargo, el grupo detrás del malware, que se cree es una unidad del ejército ruso, recientemente ha comenzado a armar una nueva botnet, y continúa centrándose en infectar dispositivos en la red de Ucrania.

A continuación se muestra la lista actualizada de enrutadores y dispositivos NAS dirigidos por el malware VPNFilter:

Dispositivos Asus:
RT-AC66U (nuevo)
RT-N10 (nuevo)
RT-N10E (nuevo)
RT-N10U (nuevo)
RT-N56U (nuevo)
RT-N66U (nuevo)

Dispositivos D-Link:
DES-1210-08P (nuevo)
DIR-300 (nuevo)
DIR-300A (nuevo)
DSR-250N (nuevo)
DSR-500N (nuevo)
DSR-1000 (nuevo)
DSR-1000N (nuevo)

Dispositivos Huawei:
HG8245 (nuevo)

Dispositivos Linksys:
E1200
E2500
E3000 (nuevo)
E3200 (nuevo)
E4200 (nuevo)
RV082 (nuevo)
WRVS4400N

Dispositivos Mikrotik: (error solucionado en RouterOS versión 6.38.5)
CCR1009 (nuevo)
CCR1016
CCR1036
CCR1072
CRS109 (nuevo)
CRS112 (nuevo)
CRS125 (nuevo)
RB411 (nuevo)
RB450 (nuevo)
RB750 (nuevo)
RB911 (nuevo)
RB921 (nuevo)
RB941 (nuevo)
RB951 (nuevo)
RB952 (nuevo)
RB960 (nuevo)
RB962 (nuevo)
RB1100 (nuevo)
RB1200 (nuevo)
RB2011 (nuevo)
RB3011 (nuevo)
RB Groove (nuevo)
RB Omnitik (nuevo)
STX5 (nuevo)

Dispositivos Netgear:
DG834 (nuevo)
DGN1000 (nuevo)
DGN2200
DGN3500 (nuevo)
FVS318N (nuevo)
MBRN3000 (nuevo)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (nuevo)
WNR4000 (nuevo)
WNDR3700 (nuevo)
WNDR4000 (nuevo)
WNDR4300 (nuevo)
WNDR4300-TN (nuevo)
UTM50 (nuevo)

Dispositivos QNAP:
TS251
TS439 Pro
Otros dispositivos QNAP NAS que ejecutan el software QTS

TP-Link Devices:
R600VPN
TL-WR741ND (nuevo)
TL-WR841N (nuevo)

Dispositivos Ubiquiti:
NSM2 (nuevo)
PBE M5 (nuevo)

Dispositivos UPVEL:
Modelos desconocidos (nuevo)

Dispositivos ZTE:
ZXHN H108N (nuevo)

Cisco dijo el mes pasado que VPNFilter no usa cero días para infectar los dispositivos, lo que significa que todos los modelos mencionados son vulnerables a través de exploits contra versiones anteriores de firmware, y la actualización a la última versión de firmware mantiene los dispositivos fuera del alcance del malware.

Si los usuarios no pueden actualizar el firmware de su enrutador, no pueden actualizar a un nuevo enrutador, pero aún desean eliminar el malware de sus dispositivos, las instrucciones sobre cómo eliminar el malware de forma segura están disponibles en este artículo. La eliminación de VPNFilter de los dispositivos infectados es todo un desafío, ya que este malware es una de las dos cepas de malware que pueden lograr la persistencia de arranque en los enrutadores SOHO y dispositivos IoT. Además, no hay signos visibles de que un enrutador haya sido infectado con este malware, por lo tanto, a menos que pueda escanear el firmware de su enrutador, incluso saber que está infectado es un desafío. El mejor consejo que podemos dar ahora es asegurarse de que está ejecutando un enrutador con firmware actualizado.