El equipo de FortiGuard Labs ha encontrado diferentes muestras de malware que se está distribuyendo de forma masiva, con el objetivo de atacar a los routers de TP-Link afectados por una vulnerabilidad RCE que se ha hecho pública hace unas dos semanas. La nueva botnet denominada como MANGA, que está basada en la popular botnet Dark-Mirai, se centra específicamente en este tipo de dispositivos de TP-Link vulnerables para seguir atacando. El equipo de FortiGuard Labs le ha llamado la atención que tienen una actualización contínua de nuevas vulnerabilidades, más que otras campañas de malware que hayan visto hasta el momento.
Esta nueva variante del malware distribuye muestras basadas en el código fuente publicado de Mirai, debemos recordar que la botnet Mirai realiza ataques distribuidos de denegación de servicio (DDoS) a gran escala, y esta botnet ha estado monitorizada por FortiGuard Labs durante mucho tiempo.
¿Por qué los routers TP-Link son el objetivo?
Recientemente unos investigadores de seguridad descubrieron unas vulnerabilidades graves en el router TP-Link TL-WR840N EU V5 del fabricante, este equipo es uno de los más vendidos a nivel mundial, por lo que seguramente haya miles de routers afectados y ahora los ciberdelincuentes lo están aprovechando. MANGA se encarga de explotar vulnerabilidades críticas, en el caso de este router, TP-Link ya ha lanzado el correspondiente firmware solucionando el problema, pero la actualización debe hacerse de forma manual entrando en el router y posteriormente subiendo el nuevo firmware, algo que hace que los ciberdelincuentes tengan el tiempo suficiente para atacar estos routers y hacerse con su control.
La vulnerabilidad que están explotando es la CVE-2021-41653, y que se descubrió hace escasamente un mes, y justo dos semanas más tarde, sobre el 22 de noviembre, se vieron las primeras muestras del malware MANGA explotando este fallo de seguridad. Este fallo de seguridad consiste en la posibilidad de que usuarios autenticados puedan ejecutar comandos arbitrarios al dispositivo de destino, en este caso, se obliga a los dispositivos vulnerables a descargar y ejecutar un script malicioso el tshit.sh, que luego descarga la carga útil binaria.
En la web oficial de Fortinet podéis ver un completo documento donde se realiza una demostración de cómo explotar la vulnerabilidad en routers TP-Link. Los clientes que utilicen Fortinet en los equipos finales con el FortiGuard Antivirus, estarán protegidos frente esta amenaza, debido a que el sistema de prevención de intrusiones ya detecta este tipo de ataque y lo bloquea automáticamente.
¿Qué puedo hacer si tengo este router de TP-Link?
Si tienes este router de TP-Link, lo primero que debes hacer es irte a la web oficial de descargas del TP-Link TL-WR840N, una vez aquí, seleccionas el modelo de hardware del router que tengas, y te descargas el último firmware disponible en la web. Una vez descargado, debes entrar en el router de TP-Link a través de su puerta de enlace predeterminada, una vez dentro, debes irte a la sección de actualizar el firmware, subir el archivo que te acabas de descargar, y esperar hasta que el proceso se complete. Podéis visitar nuestro tutorial para actualizar el firmware de cualquier router WiFi.
Hoy en día es fundamental contar con un buen soporte para nuestro router a través de actualizaciones de firmware, de lo contrario, podríamos tener problemas con vulnerabilidades que no se van a resolver. Los fabricantes que más actualizan sus routers de cara a proporcionar la mejor seguridad y nuevas funcionalidades son los que deberíamos elegir siempre, por encima de otras características. Además, tenemos la posibilidad de instalar firmwares de terceros en nuestro router, para ampliar las funcionalidades.