👈🏽 😎 ⛹🏽 La seguridad comienza con un enrutador doméstico 👩🏽‍🌾 🤴 😈

El autor del artículo es el Arquitecto de Soluciones de Seguridad en CERT

Recientemente, VPNFilter ha atraído mucha atención, especialmente después del anuncio público del FBI el 25 de mayo y una serie de anuncios de fabricantes de dispositivos y compañías de seguridad . Considere el malware VPNFilter: qué vulnerabilidades usa y cómo, evalúemos su impacto en Internet. También hago recomendaciones para los fabricantes de dispositivos de Internet de las cosas (IoT), incluidos los enrutadores domésticos, que se han convertido en el objetivo de VPNFilter. Dado que el artículo enfatiza la prioridad de varias vulnerabilidades críticas, repetiré las recomendaciones hechas en el artículo de marzo de 2017 sobre la botnet Mirai .

Historial de vulnerabilidad

Una publicación de blog de Cisco en VPNFilter proporciona detalles sobre los dispositivos que son vulnerables a esta vulnerabilidad que afecta a "al menos 500,000 dispositivos de red en todo el mundo". VPNFilter es de alguna manera similar a Mirai, ya que también apunta a dispositivos IoT, en particular enrutadores domésticos. Además, ahora se sabe que la botnet Mirai utilizó cuatro exploits de 0 días , además de la selección habitual de pares de inicio de sesión y contraseña estándar para comprometer los dispositivos IoT. Recientemente, se ha descubierto una nueva versión de la botnet Mirai, también dirigida a enrutadores domésticos.

Entre los conocidos fabricantes de enrutadores afectados por VPNFilter, Linksys y Netgear me han llamado la atención porque, según Statistica , sus modelos populares ocupan el 77% del mercado de enrutadores domésticos. Al examinar las vulnerabilidades típicas de estos dispositivos populares, puede identificar algunas recomendaciones generales que reducirán el riesgo de ataques en dispositivos tan mal controlados.

El CERT del Instituto de Ingeniería de Software (SEI) ha colaborado con muchos fabricantes de enrutadores domésticos para identificar y rastrear vulnerabilidades. Esta colaboración tiene como objetivo reducir el impacto de tales vulnerabilidades en Internet en su conjunto.

En el diagrama a continuación, noté y clasifiqué vulnerabilidades en estos dispositivos que probablemente serán explotadas. En muchos casos, también se utilizan credenciales predeterminadas . Los hackers usan estas vulnerabilidades en sus herramientas para expandir la base de datos de dispositivos pirateados.

La base de datos de vulnerabilidades del punto focal del CERT contiene al menos dos vulnerabilidades graves en los enrutadores que han afectado ampliamente a estos dos fabricantes principales:

Múltiples vulnerabilidades de desbordamiento de búfer en múltiples enrutadores . Una biblioteca popular utilizada por varios fabricantes de enrutadores tiene una vulnerabilidad de desbordamiento de búfer que se puede usar para comprometer un enrutador e instalar programas arbitrarios en él.
Vulnerabilidades en la implementación de comandos remotos arbitrarios en Netgear . Numerosos enrutadores Netgear son vulnerables a la ejecución remota de comandos arbitrarios.

Estas vulnerabilidades pueden rastrearse mediante varios exploits que están disponibles públicamente en exploit-db.com . En cierto modo, demuestran que el software en estos dispositivos contiene vulnerabilidades que pueden explotarse de forma remota. Para evitar tales errores, es necesario aplicar prácticas de programación seguras. Pero está claro que en la producción en masa, cuando los dispositivos se lanzan rápidamente al mercado, estas vulnerabilidades son difíciles de evitar y casi imposibles de eliminar. Creemos que la coordinación y la mitigación debido a estas deficiencias son las medidas más importantes para garantizar la fiabilidad y seguridad de Internet. Pero se pueden tomar medidas adicionales para evitar el pirateo masivo y el abuso debido a estos errores, como lo es ahora.

El problema del tiempo de actividad casi constante

Sospecho que si les pido a los lectores de este artículo que digan la última vez que reiniciaron su enrutador doméstico, muchos dejarán de leer para reiniciarlo. La operación continua casi interminable de los enrutadores domésticos modernos brinda una ventaja a los atacantes que pueden mantener el acceso a largo plazo a un sistema comprometido, como se describe en detalle en el modelo popular de las cinco etapas de piratería .

En realidad, el malware Mirai y VPNFIlter stage-2 son códigos maliciosos inestables que no sobreviven al reinicio. Este hecho atestigua: los atacantes están seguros de que los dispositivos no se reiniciarán durante mucho tiempo.

El papel del cuidado casual

El segundo factor que hace que un enrutador doméstico sea vulnerable es la falta de parches o actualizaciones. La actualización de un enrutador doméstico generalmente requiere un reinicio y probablemente una breve interrupción en el servicio. Muchos usuarios domésticos nunca reinician su enrutador porque necesitan una conexión a internet ininterrumpida para recibir archivos multimedia, ver videos e incluso educación. En muchos países en desarrollo donde los enrutadores son suministrados por un proveedor de servicios de Internet, se recomienda que los usuarios no actualicen el dispositivo para evitar problemas de incompatibilidad. En otros lugares donde BYOD es común (usando su dispositivo), los proveedores no pueden controlar qué equipos han instalado los usuarios ( CPE ).

Cuando visité recientemente Costa de Marfil para una conferencia sobre DDoS y botnets, los proveedores de servicios de Internet explicaron que los usuarios tienen enrutadores baratos e incluso modelos desconocidos que el proveedor no puede actualizar. Aquí hay otra razón por la cual estos dispositivos están mal mantenidos y nunca reciben las actualizaciones o parches de seguridad necesarios.

Llamado a la accion

En un artículo anterior sobre Mirai, sugerí algunas recomendaciones prácticas y disponibles para enrutadores domésticos y dispositivos IoT. Espero que se conviertan en un impulso para que los fabricantes y proveedores introduzcan soluciones técnicas innovadoras para reducir el riesgo de usar enrutadores con fines maliciosos:

La instalación de sistemas de archivos en enrutadores domésticos y dispositivos IoT es de solo lectura, lo que dificulta la instalación de malware.
Deshabilitar cualquier modo de procesamiento por lotes, falsificación o "inaudible" [en el que la tarjeta de red le permite recibir todos los paquetes independientemente de a quién se dirijan - aprox. por.] a nivel de firmware para evitar el uso malicioso de un recurso de red en estos dispositivos.
Actualizaciones automáticas de firmware para eliminar vulnerabilidades de manera proactiva, ya sea con tiempo de inactividad planificado o sin tiempo de inactividad.

La tarea de estos dispositivos simples y económicos es transferir datos a través de una red o transmitir una transmisión en tiempo real (como las cámaras IP), no hay una razón particular para guardar ningún software en el dispositivo. De hecho, algunos de los enrutadores domésticos más nuevos admiten chroot y un sistema de archivos de solo lectura, lo que dificulta la instalación de exploits. Incluso si un atacante potencial descubre o adivina la contraseña del administrador, no podrá instalar malware como VPNFilter o Mirai.

En ambos casos, el malware intenta obtener el control total sobre la pila de red, lo que le permite crear paquetes, falsificar e interceptar paquetes, y establecer el modo "inaudible" en dispositivos infectados. Dichas funciones no son necesarias en enrutadores simples y, por lo general, no se utilizan. Eliminar el modo "inaudible" eliminará por completo la posibilidad de utilizar sistemas comprometidos con fines maliciosos, como ataques DDoS , instalación de malware, interceptar mensajes y cambiar paquetes de red.

Otras recomendaciones

Además de las recomendaciones anteriores, existen otras recomendaciones prácticas que pueden ayudar tanto a los fabricantes como a los proveedores de dispositivos. Las actualizaciones automáticas ahora se implementan en muchos dispositivos: se han convertido en una parte integral de los teléfonos inteligentes, tabletas y PC. Algunas de estas actualizaciones se realizan sin interrumpir el funcionamiento del dispositivo.

En los casos en que se requiere una interrupción del servicio (por ejemplo, un reinicio), el usuario debe poder solicitar un período de tiempo preferido, por ejemplo, medianoche hora local o un día libre, para garantizar una interrupción mínima del servicio. Este tipo de actualización es necesaria para dispositivos como enrutadores domésticos y dispositivos IoT.

Si los fabricantes y proveedores pueden implementar actualizaciones incrementales sin reiniciar y si pueden implementar nuevos métodos, como instalar parches en tiempo real ( kpatch ) en sistemas vulnerables, entonces esto es aún más conveniente. Si se requiere reiniciar, los fabricantes y proveedores pueden proporcionar a sus clientes la opción de una actualización para ofrecer un mínimo de inconvenientes al mantener los dispositivos actualizados

Recomendaciones de usuario

La primera y más importante recomendación es cambiar las credenciales predeterminadas en el enrutador doméstico. Luego actualice y reinicie su enrutador doméstico y otros dispositivos IoT en su hogar. Un reinicio semanal del enrutador doméstico no es demasiado pesado e incluso puede mejorar su rendimiento.

Si le gusta una casa bien protegida, no se olvide de cuidar su seguridad digital, y comienza con un enrutador doméstico.