SITIOS WORDPRESS HACKEADOS POR ROUTERS CASEROS

Hackers están secuestrando routers no seguros para lanzar ataques de fuerza bruta en sitios de WordPress. El objetivo de estos ataques es que los hackers adivinan la contraseña de la cuenta de administrador y toman sobre el sitio atacado.

Los enrutadores juegan un papel crucial en este escenario, ya que permite a los hackers difundir su ataque de fuerza bruta a través de miles de direcciones IP diferentes, evitando los cortafuegos y sus listas negras.

Routers secuestraron a través del puerto 7547

La empresa de seguridad WordFence, descubrió estos ataques, dice que el grupo detrás de esta campaña está aprovechando fallos de seguridad en el protocolo de gestión del router TR-069 para hacerse cargo de los dispositivos. Estos falla puede ser explotada mediante el envío de peticiones maliciosas al puerto de un router 7547.

Los expertos dicen que los atacantes están poniendo en marcha sólo unos pocos intentos de adivinar la contraseña de cada router a propósito, para mantener un perfil bajo para sus ataques.

El tamaño de la botnet es desconocida, pero también podría haber más de una red de bots. WordFence dice que el 6,7% de todos los ataques de fuerza bruta en sitios de WordPress en Marzo 2017 provino de los routers domésticos con el puerto 7547 dejó abierta en Internet.

Ataques procedentes de las redes de proveedores de Internet 28

La compañía ha rastreado que muchos de los delincuentes más grandes de 28 ISP de todo el mundo, de las cuales 14 cuentan con una gran cantidad de routers con su puerto de gestión 7547 deja abierta para conexiones externas. Una lista de los proveedores de Internet ofensivos está disponible aquí.

En muchos de estos incidentes, los ataques fueron rastreados hasta ZyXEL ZyWALL 2 routers. routers ZyXEL son bien conocidos por sus fallas TR-069.

Al final del año pasado, un hacker intentó secuestrar más de un millón de routers de las redes de los ISP en Alemania y el Reino Unido. Muchos de los routers ZyXEL eran o routers ZyXEL remarcada. El pirata informático destinado a añadir los routers de una red de bots Mirai fue alquilado para los ataques DDoS. La Policía del Reino Unido finalmente detuvieron a un sospechoso en febrero.

Desde hace algún tiempo, los expertos en seguridad han estado recomendando a los usuarios limitar el acceso al puerto de su enrutador 7547. Teniendo en cuenta que la gran mayoría de los usuarios domésticos no están capacitados técnicamente, tal consejo es inútil 99,99% de las veces, ya que la mayoría de los routers no permiten esto.

El Mejor consejo es proporcionada por WordFence, quien sostiene que "los ISP deben filtrar el tráfico en su red procedente de la Internet pública que se dirige a puerto 7547."

"El único tráfico que se debe permitir el tráfico es desde sus propios servidores de configuración automática o servidores ACS desde y hacia el equipo del cliente," dijo Mark Maunder, WordFence CEO.

Esta no es la primera vez que los ladrones encontran maneras innovadoras de utilizar routers domésticos. El año 2016, los operadores de una campaña de publicidad maliciosa utilizan código JavaScript oculto en los anuncios maliciosos para secuestrar 166 modelos de router. Después de hacerse cargo de estos dispositivos, los ladrones los utilizaron para redirigir a los usuarios a sitios maliciosos o para reemplazar anuncios en sitios legítimos.

La semana del 3 de abril, ESET descubrió la botnet Sathurbot, creado usando PCs infectados a través de archivos torrent, y también se utiliza para lanzar ataques de fuerza bruta en sitios de WordPress.

Fecha actualización el 2017-4-23. Fecha publicación el . Categoría: Wordpress. Autor: Mapa del sitio Fuente: bleepingcomputer
routers caseros