El investigador de seguridad Kafeine descubrió una campaña de ataques dirigidos a routers de oficina y hogar que tiene como objetivo modificar la configuración DNS para que los atacantes puedan redirigir a los usuarios a sitios phishing, interceptar sus búsquedas, el tráfico y mucho más.

Esta campaña, en particular, sólo afecta a los usuarios que utilizan el navegador Google Chrome. Aquellos usuarios que visitan un sitio comprometido con dicho navegador son redirigidos a otro sitio que determina el tipo de modelo del router usado por la víctima a través de un ataque cross-site request forgery (CSRF).

Cuando los atacantes identifican el modelo del router utilizan un exploit para una o varias vulnerabilidades (CVE-2015-1187, CVE-2008-1244, o CVE-2013-2645) con el objetivo de acceder a la interfaz de administración del equipo. También pueden realizar un ataque de diccionario utilizando contraseñas predeterminadas para la cuenta de administración y así lograr el acceso a dicha interfaz.

No es posible acceder a muchos routers con interfaz web desde Internet para su administración, pero puede ingresarse a ellos a través de la red local, por ejemplo, usando el navegador del usuario. El ataque CSRF ocasiona que se ejecute código en el navegador y se logre el acceso a la interfaz de administración del router, de esta manera los atacantes pueden modificar la configuración de los servidores DNS.

Una vez que se realiza la modificación, todas las peticiones DNS son dirigidas a un servidor controlado por los atacantes; si el servidor no está disponible, la consulta se envía a los servidores de Google, de esta forma se evita que las víctimas noten algo raro en el servicio de Internet y así, tarden más en identificar el ataque.

Esta campaña ha estado activa por más de un mes y es posible que millones de dispositivos alrededor del mundo estén comprometidos, la magnitud del ataque está en función de la efectividad de los exploits. A principios de año se liberó un parche para la vulnerabilidad CVE-2015-1187, pero es poco probable que la mayoría de los usuarios aplicaran la actualización.

Las otras dos vulnerabilidades son más viejas y sus parches están disponibles desde hace mucho, pero pocos usuarios conocen la forma de actualizar el firmaware de sus routers, incluso pocos saben que deberían hacerlo.

Esta campaña afecta a más de 55 modelos de routers vendidos por Asus, Belkin, D-link, Linksys, Netgear, Zyxel y muchos otros fabricantes.