Resumen
El 3 de agosto, Tenable Security reveló una vulnerabilidad en una línea de routers residenciales de Buffalo Technologies que utilizaban firmware desarrollado por Arcadyan. Tres días después, los investigadores confirmaron que los atacantes estaban explotando activamente los dispositivos vulnerables en un intento de desplegar malware.
Análisis
A partir del 12 de agosto, Censys identificó 4.378 dispositivos que coinciden con la huella digital que Tenable publicó. Los dispositivos Arcadyan responden con varias propiedades distintivas, como valores de encabezado únicos en las respuestas HTTP y varios certificados SSL, entre ellos:
La ejecución de unanálisis de certificados de Censys en estas tres huellas dactilares confirma que estos certificados comparten valores comunes y nos permiten buscar hosts en términos más amplios:
Dado que muchos de los informes que llegan afirman que "millones"de dispositivos están afectados, es evidente que Censys sólo fue capaz de encontrar una pequeña fracción de estos hosts escuchando en la Internet pública.
Dado que estos fabricantes comercian principalmente en Europa y Asia Oriental, los dispositivos Censys identificados se encontraban en las zonas que se ven en el mapa de calor geográfico que figura a continuación.
En las tablas siguientes, podemos ver que la mayoría de estos dispositivos se encuentran en Japón(57% con 2.534 hosts), España(11% con 522 hosts) y Argentina(7% con 320 hosts)...
| Ubicación |
Anfitriones |
|
| Japón |
2,534 |
57.88% |
| España |
522 |
11.92% |
| Países Bajos |
320 |
7.31% |
| Argentina |
300 |
6.85% |
| Alemania |
278 |
6.35% |
| Reino Unido |
96 |
2.19% |
| Australia |
68 |
1.55% |
| Italia |
38 |
0.87% |
| Rusia |
38 |
0.87% |
| Chequia |
27 |
0.62% |
| otros |
157 |
3.59% |
| Total |
4,378 |
100.0% |
Cronología completa de los acontecimientos
Inicialmente, los investigadores de Tenable informaron de la vulnerabilidad a un único proveedor, Buffalo, que confirmó el problema el 24 de febrero y lo comunicó a la oficina de Buffalo en Japón. Fue entonces cuando Tenable descubrió que la vulnerabilidad no era específica de Buffalo, sino de cualquier dispositivo que utilizara firmware desarrollado por el fabricante Arcadyan.
Los investigadores de Tenable descubrieron el código vulnerable en una biblioteca de programación compartida por varios proveedores utilizada por 13 ISP de 11 países y que se calcula que es vulnerable desde hace diez años.
Los dispositivos vulnerables pueden ser comprometidos usando un simple exploit de cruce de directorio, permitiendo a un atacante modificar la configuración del dispositivo para permitir el acceso shell y saltarse el paso de autenticación por completo. Tenable ha publicado un artículo detallado sobre todo el proceso de explotación aquí.
Arcadyan confirmó los problemas el 25 de abril e informó a Tenable de que se estaba trabajando en un parche. Cuando Tenable pidió una lista de los dispositivos afectados, Arcadyan guardó silencio, y resulta que la lista era bastante extensa.
El 5 de agosto, la empresa de inteligencia de amenazas Bad Packets publicó el siguiente tuit, afirmando que habían visto a atacantes buscando routers Buffalo vulnerables:
El 6 de agosto, apenas tres días después de que se hiciera público el informe, Juniper Threat Labs confirmó que el fallo está siendo utilizado activamente por un grupo de atacantes que ya han ejecutado en el pasado ataques similares contra dispositivos de redes domésticas para instalar el malware de red de bots de IoT Mirai.
hemos identificado algunos patrones de ataque que intentan explotar esta vulnerabilidad in the wild procedentes de una dirección IP ubicada en Wuhan, provincia de Hubei, China.
- Laboratorios de amenazas de Juniper
¿Qué importancia tiene?
Ahora que Juniper ha confirmado que los atacantes están intentando utilizar esta vulnerabilidad para instalar la red de bots Mirai, los dispositivos desprotegidos pueden estar escaneando y atacando a otros hosts sin darse cuenta, participando en ataques orquestados de denegación de servicio distribuido y participando en actividades fraudulentas.
Lo más alarmante de todo este lío es el tiempo transcurrido entre la divulgación pública y la explotación activa confirmada. La investigación en seguridad no es un espejo unidireccional, y cuando se trata del descubrimiento de vulnerabilidades, siempre hay que asumir que los malos actores están monitoreando las mismas fuentes de información que los defensores.
¿Qué hago al respecto?
La lista de dispositivos vulnerables sigue creciendo, y siguen apareciendo detalles en el frente del malware. No podemos dar por sentado que el internauta medio se mantiene al día de las tendencias de seguridad y participa activamente en la gestión de parches. El único remedio es una línea clara de comunicación entre los proveedores de servicios y sus clientes para actualizar estos dispositivos con prontitud.
- Actualice inmediatamente cualquier dispositivo que posea y que se encuentre en la creciente lista de proveedores afectados del CERT.
- Asegúrese de que todos los dispositivos de red disponen de software actualizado.
- No exponga las interfaces de administración del router a Internet.
- Supervise continuamente su infraestructura manualmente con Censys Search, o automáticamente utilizando Censys ASM para identificar puertos y servicios expuestos involuntariamente.
Referencias
