Atacantes hallan nuevas formas para convertir tu router en un zombi
¿Cómo está siendo afectada la seguridad de los routers por un malware llamado Mirai? ¿Cuáles son los dispositivos más vulnerables? ¿Qué amenazas se derivan de estos ataques? ¿Cuál es el impacto de la campaña IZ1H9? ¿Qué medidas de seguridad se recomiendan para contrarrestar esta amenaza?
En una inquietante evolución de ciberseguridad, se ha descubierto que los atacantes han encontrado nuevas formas de transformar los routers en zombis, afectando especialmente a dispositivos de las marcas D-Link y TP-Link. Esta amenaza es impulsada por una variante del antiguo malware Mirai, que se utiliza para atacar dispositivos Linux en red y convertirlos en bots controlados de forma remota.
Atacantes usan la variante Mirai
Los atacantes han desarrollado la variante Mirai, denominada IZ1H9, que se dirige específicamente a dispositivos D-Link, routers inalámbricos Netis, software Sunhillo SureLine, cámaras IP Geutebruck, gestión de dispositivos Yealink, dispositivos Zyxel, TP-Link Archer, Korenix Jetwave y routers Totolink. Estos dispositivos se convierten en bots controlados a distancia, lo que permite a los atacantes crear botnets y lanzar ataques a gran escala, como DDoS y ataques de fuerza bruta.
Los atacantes aprovechan la vulnerabilidad de estos dispositivos para inyectar comandos no autenticados. Se observó una explotación masiva el 6 de septiembre, con miles de routers afectados, en particular los TP-Link Archer AX21. La campaña IZ1H9 se caracteriza por la rápida adaptación a nuevas vulnerabilidades, lo que permite expandir la botnet con rapidez.
Vulnerables los dispositivos D-Link y TP-Link
Impacto Amplificado por Rápidas Actualizaciones de Vulnerabilidades
La campaña IZ1H9, que se destaca en la noticia, ha aumentado su impacto gracias a las velozes actualizaciones de las vulnerabilidades que explota.
Amplia Capacidad de Infección y Expansión del Botnet
Los investigadores señalan que esta campaña demuestra su capacidad para infectar dispositivos vulnerables y expandir su botnet de manera significativa gracias a la rápida adopción de códigos de explotación recientemente publicados que abarcan numerosas CVEs (Vulnerabilidades y Exposiciones Comunes).
Objetivo Principal: Dispositivos D-Link
Los dispositivos D-Link se encuentran entre los objetivos prioritarios, presentando cuatro nuevas vulnerabilidades de gravedad crítica que permiten a los atacantes remotos realizar inyecciones de comandos mediante solicitudes específicas.
Operaciones Sigilosas Después de la Inyección
Tras la inyección y ejecución de la carga útil, la campaña inicia eliminando registros para ocultar sus acciones. Luego, descarga y ejecuta diversos clientes de bot para adaptarse a diversas arquitecturas de Linux. En el paso final, el descargador de script de shell obstaculiza las conexiones de red en múltiples puertos.
Riesgos Significativos para Dispositivos IoT
Los dispositivos IoT han sido durante mucho tiempo un objetivo atractivo para los actores de amenazas, ya que los ataques de ejecución de código remoto representan las amenazas más comunes y preocupantes tanto para los dispositivos IoT como para los servidores Linux. La exposición de dispositivos vulnerables puede generar riesgos de seguridad graves. A pesar de la disponibilidad de parches para estas vulnerabilidades, el número de desencadenantes de explotación sigue siendo alarmantemente alto, a menudo alcanzando cifras de miles.
Recomendaciones de Fortinet
Para contrarrestar esta amenaza en constante evolución, Fortinet recomienda aplicar parches de seguridad de manera inmediata y asegurarse siempre de cambiar las credenciales de inicio de sesión por defecto. Estas medidas son esenciales para mantener la integridad de la red y la seguridad de los dispositivos.
¿Qué puedo hacer para protegerme?
Para proteger tus dispositivos, como routers y otros dispositivos IoT, de posibles amenazas como la variante del malware Mirai mencionada en la noticia, aquí te dejo algunas medidas de seguridad clave:
- Actualización de Firmware: Mantén el firmware de tus dispositivos siempre actualizado. Los fabricantes suelen lanzar actualizaciones de seguridad para abordar vulnerabilidades conocidas. Asegúrate de habilitar las actualizaciones automáticas si es posible.
- Cambiar Contraseñas por Defecto: Cambia las contraseñas predeterminadas de tus dispositivos. Las contraseñas por defecto son comunes y conocidas por los atacantes. Crea contraseñas fuertes y únicas para cada dispositivo.
- Segmentación de Red: Separa tu red doméstica en segmentos, o VLANs, para aislar dispositivos críticos, como cámaras de seguridad o computadoras, de los dispositivos IoT. Esto evita que un ataque a un dispositivo IoT comprometa toda la red.
- Firewall y Cortafuegos: Activa el firewall en tu router para bloquear el tráfico no deseado. Configura reglas para permitir solo el tráfico necesario.
- Desactiva Servicios Innecesarios: Desactiva cualquier servicio o función en tus dispositivos IoT que no necesites. Cuanto menos software y funcionalidades innecesarias haya, menor será la superficie de ataque.
- Control de Acceso: Utiliza el control de acceso basado en listas blancas para permitir solo conexiones desde direcciones IP específicas o dispositivos autorizados.
- Monitoreo de Tráfico: Utiliza herramientas de monitoreo de tráfico y sistemas de detección de intrusiones para identificar actividades inusuales o intentos de ataque.
- Cifrado: Asegúrate de que las comunicaciones entre tus dispositivos y el router estén cifradas utilizando protocolos seguros, como WPA3 para redes Wi-Fi.
- Gestión de Puertos: Cierra los puertos que no son necesarios para el funcionamiento de tus dispositivos IoT. Limita el número de puertos abiertos para minimizar la exposición.
- Desconexión en caso de inactividad: Configura tus dispositivos IoT para desconectarse automáticamente si no se utilizan durante un tiempo.
- Control Parental: Utiliza funciones de control parental en tu router para limitar el acceso a ciertos sitios web o servicios.
- Evaluación de la Seguridad: Realiza evaluaciones de seguridad regulares en tus dispositivos IoT para buscar posibles vulnerabilidades.
Preguntas y respuestas frecuentes
¿Cómo proteger mi router contra ataques de malware?
Para proteger tu router contra ataques de malware, asegúrate de mantener el firmware actualizado, cambia las contraseñas por defecto, y habilita un firewall en tu router. Además, considera la segmentación de red para aislar tus dispositivos IoT.
¿Cuáles son las contraseñas más seguras para dispositivos IoT?
Las contraseñas seguras para dispositivos IoT son complejas y únicas. Deben incluir combinaciones de letras mayúsculas, minúsculas, números y caracteres especiales. Evita contraseñas predecibles, como «123456» o «password.»
¿Qué es una VLAN y cómo puede mejorar la seguridad de mi red?
Una VLAN (Virtual Local Area Network) es una forma de segmentar tu red en subredes virtuales. Esto mejora la seguridad al aislar dispositivos IoT de otros dispositivos críticos, limitando la superficie de ataque.
¿Cómo detectar intrusiones en mi red de dispositivos IoT?
Puedes detectar intrusiones en tu red de dispositivos IoT utilizando sistemas de detección de intrusiones (IDS) o sistemas de prevención de intrusiones (IPS) que monitorean el tráfico y alertan sobre actividades inusuales.
¿Qué es el control de acceso basado en listas blancas?
El control de acceso basado en listas blancas permite especificar qué dispositivos o direcciones IP están autorizados para acceder a tu red. Solo se permite la conexión desde las fuentes especificadas en la lista blanca.
¿Por qué es importante cifrar las comunicaciones en dispositivos IoT?
El cifrado de las comunicaciones en dispositivos IoT garantiza que los datos transmitidos estén protegidos contra el espionaje y la interceptación. Utiliza protocolos seguros, como WPA3 para redes Wi-Fi, para garantizar la seguridad de tus datos.
Conclusión:
La seguridad de los routers se ve amenazada por una variante del malware Mirai, que convierte dispositivos en zombis controlados por atacantes. La campaña IZ1H9 ha impactado especialmente a dispositivos D-Link y TP-Link, pero otros también se ven afectados. Es fundamental aplicar parches de seguridad y cambiar las contraseñas por defecto para mitigar esta amenaza. La ciberseguridad es esencial en un mundo cada vez más conectado, donde la protección de dispositivos IoT se convierte en una prioridad.