El router es una pieza fundamental para nuestras conexiones. Si cuenta con algún problema, algún fallo de seguridad, todo puede ir mal. Por ello cuando aparece alguna vulnerabilidad importante es conveniente intentar buscar la solución lo antes posible. En este artículo nos hacemos eco de dos vulnerabilidades de día cero que afectan a los routers Tenda. Permiten explotarlas y crear una botnet llamada Ttint. Podéis leer nuestro tutorial sobre configurar router viejo como AP.
Dos fallos de seguridad afectan a routers Tenda
Ttint es una nueva botnet que también cuenta con funciones RAT, por lo que podrían comprometer la seguridad de los usuarios de forma remota. No es algo que suela estar presente en las botnets de este tipo.
Según los investigadores de seguridad de los que nos hacemos eco, durante casi un año han estado utilizando vulnerabilidades de día cero en routers Tenda para instalar malware y crear una botnet para atacar a dispositivos del Internet de las Cosas.
La botnet Ttint ha sido investigada por primera vez hace unos días en un informe que han publicado desde Netlab. Cuenta con diferencias importantes respecto a otras botnets detectadas anteriormente.
No solo infectó dispositivos para realizar ataques DDoS, sino que también implementó 12 métodos diferentes de acceso remoto a los routers infectados, los usó como proxies para derivar tráfico, manipuló el firewall del router y la configuración DNS, así como dio la posibilidad a los atacantes de ejecutar comandos remotos en los equipos infectados.
Esta botnet se ha aprovechado de dos vulnerabilidades de día cero presentes en los routers Tenda sin parchear. El primer fallo fue registrado como CVE-2020-10987. No fue corregido y solo unas semanas después explotaron un segundo fallo del que Netlab no mostraron información por miedo a que otras botnets también comenzaran a usarlo. Desde Tenda tampoco corrigieron este segundo error.
Desde Netlab indicaron que cualquier router Tenda que ejecute una versión de firmware entre AC9 y AC18 debe considerarse vulnerable. Dado que se ha visto que Ttint altera la configuración de DNS en routers infectados, lo más probable es que redirija a los usuarios a sitios maliciosos, por lo que no se recomienda usar uno de estos dispositivos.
Los usuarios de routers Tenda que deseen saber si están usando un equipo vulnerable pueden encontrar información sobre la versión del firmware en el panel de administración de los routers.
Ttint está basada en Mirai
La botnet Ttint, como así indican los investigadores de seguridad, está basada en Mirai. Como sabemos, esta última es una de las más populares y que ha estado muy presente en los últimos tiempos.
Sin embargo ha creado una versión de Mirai más compleja. Ha adquirido un poco de diferentes botnets para crear una más completa, más peligrosa por tanto para las víctimas que se vean afectadas por este problema.
En definitiva, los routers Tenda pueden ser vulnerables a dos fallos de seguridad importantes. En muchas ocasiones podemos ver este tipo de problemas, por lo que lo más importante es tener los últimos parches disponibles siempre y cuando los responsables los lancen.
Os dejamos un artículo con algunos consejos sobre cómo configurar un router nuevo y no tener problemas.