Más de 900.000 routers que pertenecen a los usuarios Deutsche Telekom en Alemania no fueron capaces de conectarse a Internet debido a un presunto ataque cibernético.
Los problemas duraron al menos dos días, el apagón comenzó el domingo, 27 de noviembre alrededor de las 17:00, hora local. Usuarios de todo el país no fueron capaces de conectarse en línea utilizando los usuarios proporcionados por la empresa Deutsche Telekom.
El apagón duró un par de horas el domingo, a continuación, los problemas continuaron el lunes por la mañana de 08:00.
La compañía ha notificado a través de Facebook a sus 20 millones de clientes que han resuelto los problemas en torno a las 12:00, hora local, pero los usuarios siguen enfrentándose a problemas de conectividad.
Según la compañía, los piratas informáticos se dirigian a los routers que explotan un problema de seguridad. Deutsche Telekom y fabricantes de routers están trabajando juntos para desarrollar una solución de firmware y poner en marcha el parche de software.
"La interferencia masiva de las conexiones de Deutsche Telekom, según los hallazgos de la Oficina Federal para la Seguridad en Tecnología de la Información (BSI), sigue un ataque en todo el mundo." segun el sitio de abendblatt.de. "De acuerdo con las partidas del balance, los ataques también fueron notables en la red gubernamental protegida por el gobierno, pero podrían ser repelidos con medidas efectivas de protección. "
Deutsche Telekom recomienda que los usuarios desconecten sus dispositivos, esperen 30 segundos y reinicie su router. En caso de que este procedimiento no es capaz de restaurar la conectividad se sugiere desconectar permanentemente el router de la red de Deutsche Telekom.
"Alemana Telekom ofrece ahora una actualización de firmware para los routers afectados. Detalles (en alemán) son aquí: https://www.telekom.de/Hilfe/Geraete-zubehoer/router/Speedport-w-921v/ firmware-zum-Speedport-w-921v.
La empresa está ofreciendo Internet móvil libre hasta que el problema técnico se resuelve. Deutsche Telekom no dio más detalles técnicos sobre el presunto ataque cibernético o bien los modelos de router afectadas.
No está claro cuál es la amenaza que comprometió los routers de Deutsche Telekom, los expertos especularon la participación de un malware que podría haber evitado el equipo se conecte a la red de la empresa.
Segun la empresa de seguridad ISC Sans este puede ser el problema
Los expertos en seguridad de ISC Sans publicaron un informe interesante que reveló un aumento significativo en las exploraciones y los intentos de explotación de un jabón ejecución remota de código (RCE) la vulnerabilidad a través del puerto 7547 en contra de los routers Speedport.
Este modelo específico de los routers es ampliamente utilizado por Deutsche Telekom para los usuarios alemanes.
"Durante los últimos dos días, el ataque contra el puerto 7547 se han incrementado sustancialmente. Estas exploraciones parecen explotar una vulnerabilidad en los routers DSL populares. Este problema ya se puede haber causado problemas graves para los ISP alemana Deutsche Telekom y puede afectar a otros también (dado que los EE.UU. es sólo el "despertar" de un largo fin de semana). Para Deutsche Telekom, routers Speedport parecían ser el principal problema. " Segun los SANS ICS.
"De acuerdo con Shodan, cerca de 41 millones de dispositivos tienen el puerto 7547 abierto. El código parece estar derivado de Mirai con la exploración adicional para la vulnerabilidad SOAP. Actualmente, los honeypots ver sobre una solicitud cada 5-10 minutos para cada destino de IP ".
De acuerdo con el informe de SANS ICS, parece que los atacantes trataron de aprovechar una vulnerabilidad común en el protocolo de configuración TR-069. Los expertos destacaron la disponibilidad de un módulo de Metasploit la aplicación del exploit para esta vulnerabilidad.
Una lista NO confirmado de routers vulnerables incluye la D1000 router inalámbrico Eir (renombrados Zyxel módem utilizado por ISP irlandés EIR) y el router Speedport (Deutsche Telekom).
Por supuesto. cuando se trata de dispositivos IO y las amenazas informáticas, el malware más temido es el bot Mirai que recientemente participó en varias masivos ataques DDoS.
De acuerdo con BadCyber, el responsable es el botnet Mirai que fue diseñado para explotar Eir D100 (Zyxel módem) a través del puerto 7547.
"Protocolo TR-064 está basado en HTTP y SOAP y su puerto TCP predeterminado es 7547. Los comandos se envían como peticiones POST a este puerto." Afirma el BadCyber.
