25 nov. 2017

Botnet Mirai infecta miles de dispositivos ZyXEL en Argentina

Investigadores de 360 detectaron grandes repuntes de trafico con cerca de 100.000 IPs únicas, procedentes de argentina. Tras la investigación, se ha determinado que provienen de una variante de Mirai.

En Enero de 2016 se publicó una vulnerabilidad que afectaba a los routers Zyxel PK5001Z. Esta vulnerabilidad, consistia en una contraseña oculta (hardcoded) de super usuario que permitia escalar a un usuario a root. Sin embargo, esta contraseña por si sola no sirve para nada ya que no se puede utilizar para logearnos en nuestro dispositivo.

Por otro lado, los malhechores han descubierto que hay una gran cantidad de dispositivos ZyXEL que tienen las credenciales telnet por defecto admin/CntryL1nk y admin/QwestModem. La prueba de concepto publicada el mes pasado aprovechaba dichas credenciales para escalar a root usando la contraseña hardcodeada.

De las 100.000 IPs detectadas durante el ataque, aproximadamente 65.000 provienen de Argentina. Esto es signo de que el ISP, concretamente Telefonica de Argentina ha distribuido dispositivos ZyXEL a sus clientes con las credenciales por defecto incluidas en la prueba de concepto mencionada anteriormente.
Por suerte Mirai no cuenta con un mecanismo de persistencia incluido, es por ello que al reiniciar el router no persistirá en el. Este es el motivo de que los números de Mirai varíen tanto de un día a otro, y en consecuencia los atacantes necesitan a diario nuevos dispositivos a los que infectar. De momento, no se han observado quejas de usuarios de dichos routers, indicando que es posible que no conozcan que su dispositivo fue infectado.

Esto hace pensar que se trata de un enfoque de ataque en varios tipos específicos de dispositivos IoT, y ampliamente implementados en Argentina, tal como sucedió en el evento de Telekom (Alemania) del año pasado.

Si disponen de dicho modelo de router, y cuenta con las credenciales por defecto recomendamos reiniciar el dispositivo y modificar las credenciales por defecto para evitar futuras intrusiones.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!