[18/02/2014] El domingo se revelaron detalles técnicos de una vulnerabilidad en los routers de Linksys que había sido explotada por un nuevo gusano, ese mismo día también se presentó un exploit de prueba de concepto y una lista -más larga de lo que se pensaba- de los modelos potencialmente vulnerables.
La semana pasada, los investigadores de seguridad del Internet Storm Center del SANS Institute (SANS ISC), identificaron un programa de malware autoreplicante que explota una vulnerabilidad de bypass en la autenticación para infectar los routers de Linksys. El gusano ha sido llamado TheMoon.
El reporte inicial del SANS ISC afirmaba que la vulnerabilidad se encuentra localizada en un script CGI, que es parte de la interfase de administración de varios modelos de routers E-Series de Linksys. Sin embargo, los investigadores del SANS no nombraron el script vulnerable en ese momento.
El domingo, un usuario de Reddit identificó cuatro scripts CGI que consideraba probablemente vulnerables. Un escritor de temas de exploits, que usa el alias online de Rew, confirmó posteriormente que al menos dos de esos scripts eran vulnerables y publicó un exploit de prueba de concepto.
“Esperaba que esto quedara en secreto hasta que se pudiera lanzar un parche de firmware, pero parece que el gato se ha salido de la bolsa”, escribió Rew en las notas sobre exploits.
El exploit también contiene una lista de routers de Linksys que Rew -en base a las cadenas extraídas del malware original TheMoon- considera que podrían ser vulnerables. La lista incluye no solo modelos de la E-Series de Linksy, sino también de la línea de productos Wireless-N.
Los siguientes modelos se encuentran en la lista: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N y WRT150N. Sin embargo, Rew señala que la lista podría no ser exacta o estar completa.
Belkin, propietaria de Linksys, confirmó que algunos routers Wireless-N también se encuentran afectados, pero no nombró los modelos exactos.
“Linksys está al tanto del malware llamado ‘TheMoon’ que ha afectado a algunos antiguos routers E-Series y access points y routers Wireless-N”, sostuvo Karen Sohl, directora de comunicaciones globales de Belkin, en una declaración mediante correo electrónico el domingo. “El exploit para evitar la autenticación del administrador que usa el gusano solo funciona cuando se encuentra habilitada la característica Remote Management Access. Linksys envía estos productos con esta característica desactivada por defecto”.
Sohl afirmó que los clientes pueden deshabilitar la característica y reinicializar sus routers para retirar el malware, lo cual sugiere que el gusano no es persistente a las reinicializaciones.
Linksys publicó un artículo técnico en su sitio web con instrucciones de cómo instalar la más reciente versión del firmware y deshabilitar la administración remota en los dispositivos afectados. Esta solución podría no ser práctica para los administradores que tienen que administrar dispositivos desplegados en lugares remotos, pero hasta el momento parece ser la única estrategia oficial de mitigación que ofrece el proveedor.
“Linksys trabajará en los productos afectados con un fix de firmware que se planea publicar en nuestro sitio web en las siguientes semanas”, señaló Sohl.
El lanzamiento público de un exploit de prueba de concepto expone a los routers vulnerables a potenciales ataques oportunistas y ataques dirigidos además de al malware TheMoon. Los cibercriminales recientemente han comenzado a comprometer los routers caseros para lanzar ataques contra los usuarios de banca online, lo cual sugiere que los riesgos asociados a las vulnerabilidades en los routers no son solo teóricos.
Lucian Constantin, IDG News Service