Millones de routers y dispositivos de IoT en peligro por esta vulnerabilidad

Los ciberdelincuentes para obtener beneficios realizan diferentes tipos de ataques. Los que mejores resultados les suelen reportar son los de ransomware y los de Phishing. A veces, ya sea de manera individual o en grupo generan este software dañino con el objetivo de infectar diferentes dispositivos. Lo que los hace más eficientes es que incluyan vulnerabilidades que no hayan sido descubiertas de routers y otros dispositivos, sin embargo, en el día de hoy lo que ha ocurrido es que el código fuente de un malware que ya existía ha sido publicado. En este artículo vamos a ver cómo millones de routers y dispositivos de IoT están en peligro por el código fuente de un malware que se ha publicado en GitHub.

Millones de routers y otros dispositivos en riesgo

Según un proveedor de seguridad, «BotenaGo» contiene exploits para más de 30 vulnerabilidades en productos de múltiples proveedores y se utiliza para propagar el malware de botnet Mirai. Los autores de este peligroso malware dirigido a millones de routers y dispositivos de Internet de las cosas (IoT) han subido su código fuente a GitHub. Esto significa que otros delincuentes ahora pueden generar rápidamente nuevas variantes de la herramienta o usarla como está ahora para hacer sus campañas. Quizás te pueda interesar cómo saber si tu IP forma parte de una botnet y cómo evitarlo.

Los investigadores de AT&T Alien Labs fueron los primeros en detectar este malware y le pusieron el nombre de BotenaGo. Este malware está escrito en Go, un lenguaje de programación que se ha vuelto bastante popular entre los ciberdelincuentes. En este caso viene repleto de exploits para más de 30 vulnerabilidades que afectan a muchas marcas, incluidos Linksys, D-Link, NETGEAR y ZTE.

Funcionamiento de este malware

En cuanto a BotenaGo, se diseñó para ejecutar comandos de shell remotos en sistemas en los que se ha explotado con éxito una vulnerabilidad. El año pasado en un análisis de AT&T Alien Labs se detectó por primera vez que el malware BotenaGo usaba dos métodos diferentes para recibir comandos para atacar a las víctimas. Estos dos procedimientos consisten en:

  1. Utilizaban dos puertas traseras para escuchar y recibir las direcciones IP de los dispositivos de destino.
  2. Configuraban un escucha para la entrada del usuario de E/S del sistema y recibir información de destino a través de él.

Estos investigadores descubrieron también que el malware está diseñado para recibir comandos de un servidor remoto, no tiene ninguna comunicación activa de comando y control. Así supusieron que BotenaGo era parte de un paquete de malware más amplio y probablemente una de las múltiples herramientas que utilizaban en un ataque. Por otra parte, se descubrió que los enlaces de carga útil eran similares a los utilizados por el malware de botnet Mirai. De esto se podría deducir que probablemente BotenaGo sea una nueva herramienta de los operadores de Mirai.

Dispositivos de IoT y millones de routers afectados

Las razones por las que se ha publicado el código fuente de BotenaGo a través de GitHub no están claras. Sin embargo, sí se pueden estimar las posibles consecuencias. La publicación del código fuente podría aumentar considerablemente las variantes de BotenaGo. La razón es que otros autores de malware utilizan y adaptan el código fuente para sus propósitos específicos y campañas de ataque. Esto va a hacer sin duda que millones de routers y dispositivos de IoT se vean afectados. Las marcas afectadas van a tener que trabajar duro para corregir las vulnerabilidades y lanzar las actualizaciones correspondientes lo antes posible para proteger estos equipos. Por otra parte, uno de los servidores de carga útil de BotenaGo también se encuentra en la lista de indicadores de compromiso de las vulnerabilidades de Log4j descubiertas recientemente.

En cuanto al malware BotenaGo, consta de solo 2891 líneas de código y puede ser un buen punto de partida para nuevas variantes. Además, que venga repleto de exploits para más de 30 vulnerabilidades para millones de routers y dispositivos IoT es otro factor que los autores de malware probablemente consideren atractivo. Entre las muchas vulnerabilidades que BotenaGo puede explotar encontramos:

  • CVE-2015-2051 que afecta a ciertos routers Wi-Fi D-Link.
  • CVE-2016-1555 que afecta a los productos Netgear,
  • CVE-2013-3307 en dispositivos Linksys.
  • CVE-2014-2321 que afecta a ciertos cable módem de ZTE.

Por último, un dato preocupante es que según AT&T Alien Labs únicamente tres de los 60 antivirus de VirusTotal son actualmente capaces de detectar este malware.

¡Sé el primero en comentar!