Uno de los routers que utiliza Orange para sus clientes con ADSL, el Huawei HG532, está sufriendo ataques de la botnet Mirai. Como sabemos, se trata de un malware cuyo fin es infectar los dispositivos del conocido como Internet de las Cosas. Infecta, entre otros, routers y cámaras IP. En el caso del router de Orange lo infecta mediante el protocolo UPnP. Cuando lo logra, el aparato puede utilizarse para ataques de denegación de servicios (DDoS). Podéis visitar nuestro tutorial sobre cómo funciona AP isolation y Net isolation.
Ataque hacia el router Huawei HG532
Entre los ataques de la botnet Mirai se encuentran algunos de los más grandes de la historia del tipo DDoS. Por ello este ataque que afecta a los routers Huawei HG532, que utiliza Orange para el ADSL, pone en jaque a muchos usuarios.
El objetivo de Huawei era que su router Home Gateway fuera simple y sin fisuras para poder integrarse en redes tanto domésticas como corporativas. Es por ello que utiliza el protocolo UPnP, que, como hemos mencionado, infecta la botnet Mirai. Este protocolo, Universal Plug and Play, funciona a través del estándar de informe técnico TR-064.
Este informe está diseñado para la configuración de red local. En la práctica permite a un ingeniero implementar la configuración básica del dispositivo, actualizaciones de firmware y otras características dentro de la red interna.
El problema que se ha descubierto es que la implementación TR-064 en dispositivos Huawei desafortunadamente permite a los atacantes remotos ejecutar comandos en el dispositivo. Esto pone en riesgo a los usuarios de ADSL de Orange que utilicen este dispositivo para conectarse a Internet.
Actualización del firmware
Tan pronto como se confirmaron los hallazgos, la vulnerabilidad fue revelada a Huawei para intentar evitar que el problema fuera a más. Gracias a la comunicación rápida y efectiva del equipo de seguridad de Huawei, la empresa pudo corregir rápidamente la vulnerabilidad y actualizar a sus clientes. Esto evitará ataques contra el router.
Desde Huawei recomiendan a todos los usuarios que tengan este router activar el firewall del equipo. Ha liberado una nueva versión del firmeware a los diferentes proveedores de Internet.
Según informan los analistas de Check Point, los ataques que utilizaban la vulnerabilidad desconocida en los routers Huawei HG532 afecta a países de todo el mundo. Sin embargo señalan que Estados Unidos, Alemania, Italia o Egipto han sido algunos de los más afectados. Los fallos en el router pueden suponer un problema.
Identidad del atacante
En un principio se desconocía la identidad del autor de estos ataques. Era difícil de descubrirlo ya que se ocultó detrás de una gran cantidad de volumen de tráfico y múltiples direcciones de ataque. Sin embargo Check Point descubrió que el atacante estaba detrás del apodo Nexus Zeta. Se trata de un hacker amateur, ya que participaba en diferentes foros de hacking. Buscaba abiertamente asesoramiento para construir botnets.
Por tanto, lo recomendable es que los usuarios que tengan este router lo actualicen inmediatamente. Como hemos mencionado, Orange lo utiliza para sus clientes de ADSL. No es una buena publicidad para la compañía, como podemos imaginar. Ahora mismo los usuarios de este dispositivo son vulnerables.
Actualización con información de Orange:
No hay afectados entre los clientes de Orange (pues el firmware utilizado no tiene esta vulnerabilidad) y solo se ha detectado una treintena en equipos HG532x de Jazztel, por lo que el impacto es mínimo. Para ser afectado por esta vulnerabilidad el cliente ha de haber desactivado voluntaria y manualmente el firewall, por lo que se les va a informar de que lo activen de nuevo para solucionarlo.