sábado, 25 de noviembre de 2017

Mirai infecta miles de dispositivos ZyXEL en Argentina

Investigadores de 360 detectaron grandes repuntes de trafico con cerca de 100000 IPs únicas, procedentes de argentina. Tras la investigación, se ha determinado que provienen de una variante de Mirai. 

Incremento de trafico detectado por 360

En Enero de 2016 se publicó una vulnerabilidad que afectaba a los routers Zyxel PK5001Z. Esta vulnerabilidad, consistia en una contraseña oculta(hardcoded) de super usuario que permitia escalar a un usuario a root. Sin embargo, esta contraseña por si sola no sirve para nada ya que no se puede utilizar para logearnos en nuestro dispositivo.

Por otro lado, los malhechores han descubierto que hay una gran cantidad de dispositivos ZyXEL que tienen las credenciales telnet por defecto admin/CntryL1nk y admin/QwestModem. La prueba de concepto publicada el mes pasado aprovechaba dichas credenciales para escalar a root usando la contraseña hardcodeada. 

De las 100.000 IPs detectadas durante el ataque, aproximadamente 65.000 provienen de Argentina. Esto es signo de que el ISP, concretamente Telefonica de Argentina ha distribuido dispositivos ZyXEL a sus clientes con las credenciales por defecto incluidas en la prueba de concepto mencionada anteriormente. 

Por suerte Mirai no cuenta con un mecanismo de persistencia incluido, es por ello que al reiniciar el router no persistirá en el. Este es el motivo de que los números de Mirai varíen tanto de un día a otro, y en consecuencia los atacantes necesitan a diario nuevos dispositivos a los que infectar. De momento, no se han observado quejas de usuarios de dichos routers, indicando que es posible que no conozcan que su dispositivo fue infectado.

Si disponen de dicho modelo de router, y cuenta con las credenciales por defecto recomendamos reiniciar el dispositivo y modificar las credenciales por defecto para evitar futuras intrusiones. 

 
Fernando Díaz
fdiaz@hispasec.com

Más información:

Early warning a new Mirai Variant is spreading: