• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Gusanos, routers y javascript

Gusanos, routers y javascript

29 noviembre, 2013 Por Hispasec 1 comentario

Tradicionalmente, los creadores de malware se han enfocado allí donde les es más rentable invertir su tiempo y recursos: Una rápida y amplia difusión de sus creaciones sobre una plataforma con un gran número de usuarios sin conocimientos avanzados. El malware por excelencia sigue siendo el troyano creado para sistemas Windows, sobre todo el orientado a la banca. Decimos «sigue siendo» debido sobre todo a la constante aparición de muestras para dispositivos móviles, hasta tal punto, que en nuestro propio laboratorio de análisis de malware ya hay personal exclusivamente para analizarlas.
Al margen de toda esta vorágine, nos llama la atención aquel tipo de malware que no está enfocado al público en general. Al menos no directamente. En este caso particular se trata de un gusano descubierto por Symantec, denominado Linux.Darlloz.
Darlloz aprovecha una vulnerabilidad, con CVE-2012-1823, para ejecutar código arbitrario en el sistema. Se trata de un fallo bastante curioso en PHP cuando está configurado para funcionar como CGI, configuración bastante común en los servidores web que publican frontales de administración de dispositivos empotrados, por ejemplo y sobre todo routers.
Los routers son a menudo los grandes olvidados en cuanto a actualizaciones se refiere. Parafraseando cierta jerga militar es un dispositivo de «dispara y olvídalo«. El usuario medio abre la caja, enchufa los cables, ve parpadear la luz verde y cuando comprueba en el navegador que aparece el logotipo de Google el router pasa a ser una caja con lucecitas detrás de algún mueble o rack.
El vector de entrada del gusano es pobre. Necesita que la interfaz web esté escuchando hacia fuera (Internet), intenta combinaciones de usuario password conocidas para acceder a cierta funcionalidad y por último lanza el exploit con la esperanza de que el objetivo no haya sido parcheado. No es de extrañar que la propia Symantec lo clasifique de propagación baja, lo cual evidentemente no quiere decir que no entrañe peligro. Cualquier router de hace unos años con su configuración inmaculada de fábrica sería el candidato perfecto.
Desde luego es bastante común ver routers con las credenciales de administración por defecto, pero no lo es tanto ver el servidor escuchando hacia la red. Aunque curiosamente se da el caso de que si que podríamos llegar a exponer el panel de administración de nuestro router a todo Internet sin darnos cuenta.
Según Alexandros Kapravelos (@kapravel), del proyecto Webawet, han observado un script malicioso que intenta acceder a direcciones locales de nuestra red interna. Concretamente se interesan precisamente por el router y su configuración, en este caso el script prueba con la clásica 192.168.1.1
En un primer movimiento, el script intenta verificar si puede tener acceso al router, por ejemplo solicitando una imagen:
http://admin:admin@192.168.1.1/images/logo.jpg
Nada le impide al script seguir probando combinaciones de usuario-password hasta dar con alguna típica por defecto. Si acierta, pasará de obtener un código HTTP 401 o 403 a un 200.
Seguidamente, si tiene éxito, prosigue ejecutando dos funciones que tienen por objeto la modificación de la configuración del router. ¿Y que vemos en una de ellas?:
http://192.168.1.1/userRpm/ManageControlRpm.htm?port=11&ip=0.0.0.0&Save=%C8%B7+%B6%A8
Esta última orden, en cierto router, cambiaría la dirección de escucha del servidor web a 0.0.0.0 o lo que es lo mismo: Internet (0.0.0.0 es la «ruta por defecto«, equivale a escuchar en cualquier  dirección).
Evidentemente lo que pretendemos mostrar aquí no es que el atacante mande un enlace a la víctima para posteriormente indicarle al gusano que infecte el router. Lo que podemos aprender de todo esto es como podría orquestarse un ataque combinando pequeñas acciones en pasos muy concretos.
El router es un punto crítico en el sistema, por ahí pasan todas las comunicaciones de una red interna hacia el exterior. Es el dispositivo perfecto para persistir: No se suele actualizar, no se suele revisar y no lleva antivirus. Casi todos pasan por montar un sistema UNIX o derivado; lo que llevaría a los atacantes al trío por excelencia: explotar, escalar privilegios e instalar puerta trasera una vez obtenido el acceso.
Mediante un spear phishing podemos intentar colar un enlace a una página web a alguien de dentro para que ejecute dicho javascript, servir el panel de administración hacia Internet y explotarlo. Una vez con el control del router las posibilidades son infinitas. Y desde luego conociendo previamente el tipo de dispositivo el ataque puede refinarse al máximo.
¿Ha llamado alguien preguntado por el modelo de router últimamente?
Más información:
Linux Worm Targeting Hidden Devices
http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices
Attacking home routers via JavaScript
http://blog.kapravelos.com/post/68334450790/attacking-home-routers-via-javascript
David García
dgarcia@hispasec.com
Twitter: @dgn1729

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Malware

Interacciones con los lectores

Comentarios

  1. ElizabethMartin dice

    5 mayo, 2017 en 8:59 am

    obtaining Xender APK App from the relied on source. xender app this app on your outside memory card.When the web page is loaded.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware "Jester"
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales
  • El Discord oficial de Opensea (mercado de NFT) es hackeado
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec