Un ataque fallido paraliza 900.000 internet routers

Como se pudo conocer, el día domingo 27 de noviembre en la tarde se llevó a cabo uno de los ataques más grandes conocidos hasta ahora a los internet routers de muchos clientes de la empresa de comunicación alemana “Deutsche Telekom”. Al principio pensaban la mayoría de los clientes que existía una falla en los servidores

W-Lan-Router

DNS de la empresa pero pronto ésta daría a conocer de que el fallo habría sido provocado por un ataque masivo a los routers que la empresa ponia a disposición a sus clientes.

En el transcurso del lunes, los clientes pudieron obtener un update el cual repara los sistemas afectados. Para entoces ya estaba claro, que el fallo había sido causado por un ataque a gran escala que tenia como objetivo el interfaz de actualización (SOAP) de los sistemas. A principios de este mes se había descubierto que el interfaz ofrecia un fallo de seguridad el que fue usado por desconocidos usando en parte codigo del Botnet “Mirai”. Un error de programación de los atacantes fue el causante del defecto el cual impidió convertir los routers afectados en “zombies”.

Los puertos y sus piratas

En muchas páginas y foros en internet pueden encontrarse la descripción del ataque y que medidas se deben tomar para prevenirlo.

seguridad informática redesEl fallo de seguridad que dio origen a este ataque fue publicado el 7 de noviembre en el Blog de Eir´s  en el cual se describe el ataque al puerto de mantenimiento 7547 que es parte del protocolo TR-069 para estos casos y que es usado tambien para el protocolo TR-064 el cual esta destinado solamente para ser alcanzado desde las redes locales. El vector se origina por la falta de autorizacion en el protocolo antes mencioando (SOAP) llamado LAN-Side CPE Configuration que permite cambiar el DNS y NTP de los sistemas con un simple POST request.

Para agravar la situación, los routers de la “deutsche Telekom” tenian un bug el que permitía introducir codigo malicioso en el sistema. Este fue precisamente el objetivo de los atacantes, quienes intentaron introducir una version modificada del gusano Mirai.

 

About the author: Carlos Medina