Team Cymru, un equipo especializado en investigaciones relacionadas a la seguridad de la información, ha publicado su más reciente trabajo, en donde devela cómo descubrieron un ataque que redirigió a más de 300 mil equipos a servidores maliciosos.
Según la investigación, una vez que el Gateway es comprometido, los dispositivos detrás del mismo realizan consultas DNS a un servidor malicioso, exponiéndolos a sitios phishing y visitas a sitios que alojan malware, entre otros ataques. El documento publicado indica que entre los equipos afectados se encuentran routers de TP-Link, D-link, Micronet, Tenda y otros.
En el caso de los equipos TP-Link, aparentemente se utilizó un ataque de tipo cross-site request forgery conocido, el cual permite al atacante inyectar una contraseña en blanco a través de la interfaz web de administración del router. Algunos de los dispositivos afectados por el ataque pharming parecen haber sufrido un reemplazo de su firmware Zyxel ZynOS debido a una vulnerabilidad conocida. Otros dispositivos afectados probablemente fueron comprometidos por el uso de contraseñas débiles o predeterminadas.
Los dispositivos afectados sufrieron una modificación en su registro DNS, se incluyeron las direcciones IP 5.45.75.11 y 5.45.75.36. De acuerdo a las estimaciones de Team Cymru, hay aproximadamente 300 000 equipos con direcciones IP únicas haciendo peticiones a esas dos direcciones.
El análisis de esos servidores DNS maliciosos reveló un gran número de equipos comprometidos, incluyendo modelos de D-Link, Micronet, Tenda, TP-Link y otros. Mientras que el mayor número de equipos afectados se encuentra en Vietnam, Italia, Tailandia, Indonesia, Colombia, Turquía, Ucrania, Bosnia y Herzegovina y Serbia, el ataque tiene un impacto global.
De acuerdo a Team Cymru, este ataque no está relacionado al gusano “Moon worm”, que afecta a routers Linksys.
El consejo para mitigar el ataque es verificar la configuración DNS, restringir o deshabilitar la administración remota del router y, de ser posible, bloquear el acceso a los servidores DNS maliciosos.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT