Botnet Party en los routers GPON
Al menos cinco botnets IoT luchan entre ellas e intentan infectar routers Dasan GPON según la firma china de seguridad cibernética Qihoo 360 Netlab.
Los cinco botnets son conocidos bajo nombres clave como Hajime, Mettle, Mirai, Muhstik y Satori.
Los dispositivos que están tratando de tomar son enrutadores con capacidad GPON fabricados por el proveedor surcoreano Dasan. GPON significa Gigabit Passive Optical Network y es un tipo de tecnología de telecomunicaciones para admitir conexiones de internet a través de líneas de fibra óptica.
A principios de mayo, los investigadores de seguridad revelaron dos vulnerabilidades ( CVE-2018-10561 y CVE-2018-10562 ) en estos dispositivos que los atacantes podrían explotar y hacerse cargo de los enrutadores. Las vulnerabilidades fueron rápidamente atacadas.
Ahora, los investigadores de Netlab, quienes detectaron los primeros intentos de pirateo informático, dicen que los ataques que explotan estos defectos y que apuntan a los enrutadores Dasan GPON se han intensificado a medida que se unieron más botnets al redil.
Pero en lo que equivale a una comedia de errores, ninguno de los cinco botnets son en realidad dispositivos infectados. Según Netlab, las hazañas de cuatro botnets (Hajime, Mirai, Muhstik y Satori) contienen errores y están rotas, lo que impide que las botnets pongan los enrutadores bajo su control.
El exploit de Mettle funciona, pero Netlab dice que el servidor de comando y control del botnet se cayó y que el único botnet capaz de infectar los enrutadores Dason GPON parece haberse tomado un descanso en el peor momento posible.
Netlab esya trabajando para eliminar al menos una de estas botnets
Pero los investigadores de Netlab no pierden el tiempo esperando que estas botnets arreglen su código. Actualmente, la firma china está trabajando para que se derribe al menos una de estas botnets.
"Estamos tomando acciones conjuntas con la comunidad de seguridad para cerrar partes de los servidores de [Muhstik]", dijo un portavoz de Netlab a Bleeping Computer en una conversación privada el día de hoy.
Dasan dice que menos de 240,000 dispositivos están afectados
En cuanto al proveedor de enrutadores, Dasan también ha estudiado este asunto después del informe inicial, que afirmaba que más de un millón de enrutadores estaban expuestos a piratas informáticos.
El número original de dispositivos afectados se informó en base a una consulta de búsqueda genérica de Shodan, lo que significa que muchos dispositivos que pueden no haber sido vulnerables a los dos exploits también se incluyeron en los resultados de búsqueda.
La compañía le dijo a Bleeping Computer en un correo electrónico que solo "la serie ZNID-GPON-25xx y ciertas ONT de GPON serie H640, cuando operan en versiones de software específicas, se ven afectadas por esta vulnerabilidad", y no todos sus dispositivos habilitados para GPON.
"Después de una investigación interna, hemos determinado que el impacto potencial es mucho más limitado de lo que se informó anteriormente en los medios", nos dijo un portavoz de Dasan.
"De acuerdo con los registros de ventas de DZS, combinados con los datos de campo recopilados hasta la fecha, hemos estimado que la cantidad de unidades GPON ONT que podrían verse potencialmente afectadas es inferior a 240,000".
La compañía también dice que este número puede ser incluso más pequeño, ya que los dispositivos vulnerables a los dos exploits son bastante viejos -primero lanzados en 2009- y muchos pueden haber sido reemplazados por enrutadores Dasan GPON más nuevos que no se ven afectados por estos dos defectos, pero aún así ser incluido en los resultados de búsqueda de Shodan.
No hay parche oficial pero hay una alternativa
En cuanto a parchear los dispositivos afectados, Dasan no ve que esto ocurra, al menos no ahora.
"El DZS ZNID-GPON-25xx y ciertas ONT de la serie H640, incluido el software que introdujo esta vulnerabilidad, fueron desarrollados por un proveedor OEM y revendidos por DZS", dijo el portavoz de Dasan a Bleeping Computer.
"Aunque se diseñaron y lanzaron hace más de 9 años, la mayoría de estos productos ya han pasado su vida útil sostenible. Debido a que ya no se ofrecen contratos de soporte de software para la mayoría de estos productos, no tenemos una idea directa del número total de unidades que todavía se usan activamente en el campo ".
Dasan también agregó que han informado a todos los clientes que compraron los modelos afectados sobre los defectos descubiertos.
"Estamos trabajando con cada cliente para ayudarlo a evaluar los métodos para abordar el problema de las unidades que aún pueden instalarse en el campo. Dependerá de cada cliente decidir cómo abordar la condición de su equipo desplegado". dijo Dasan.
Mientras tanto, los investigadores que descubrieron esta falla han lanzado un parche no oficial para mitigar la amenaza. Los propietarios de los enrutadores afectados deben tener un experto en seguridad que verifique de forma independiente el código del parche antes de instalarlo en sus routers