Nuestro IoT Smart Checker permite a los usuarios identificar si los dispositivos conectados (por ejemplo, enrutadores, dispositivos de almacenamiento conectados a la red, cámaras IP e impresoras) en una red determinada son vulnerables a vulnerabilidades y riesgos de seguridad, como los relacionados con Mirai, Reaper y WannaCry.
IoT Smart Checker reúne datos de la   solución Trend Micro ™ Home Network Security y del  escáner HouseCall ™ for Home Networks . HouseCall for Home Networks es una herramienta gratuita que cuenta con reconocimiento de dispositivos y escaneo de vulnerabilidades en redes de usuarios y dispositivos conectados. Home Network Security es una solución conectada a los enrutadores de los usuarios que protege los dispositivos conectados de posibles ataques cibernéticos. Actualmente, IoT Smart Checker admite múltiples sistemas operativos, incluidos Linux, Mac, Windows, Android, iOS y otras plataformas de kit de desarrollo de software (SDK).Este blog aborda el malware VPNFilter recientemente famoso y si los dispositivos implementados son vulnerables a él. VPNFilter es un malware multietapa recientemente descubierto (detectado por Trend Micro como  ELF_VPNFILT.A ,  ELF_VPNFILT.B ,  ELF_VPNFILT.C y  ELF_VPNFILT.D ) que afecta a muchos modelos de dispositivos conectados. Inicialmente  reportado  a fines de mayo que infectó al menos 500,000 dispositivos de red en 54 países, incluidos los de Linksys, MikroTik, Netgear y TP-Link, para robar credenciales de sitios web e incluso inutilizar dispositivos, el malware ahora se ve  orientado más dispositivos para entregar exploits e incluso anular los reinicios. El Buró Federal de Investigaciones (FBI) incluso lanzó un  anuncio de servicio público  (PSA, por sus siglas en inglés), advirtiendo que es obra de actores de amenazas extranjeros que buscan comprometer dispositivos en red en todo el mundo.

Diferentes marcas y modelos afectados por VPNFilter y más

Se sabe que VPNFilter afecta a más de diez marcas y 70 modelos de dispositivos. IoT Smart Checker puede identificar otras vulnerabilidades conocidas públicamente dirigidas a los dispositivos como se detalla a continuación:

Fabricante Modelo Tipo de dispositivo
Asus RT-AC66U, RT-N10, RT-N10E,
RT-N10U, RT-N56U y RT-N66U
Enrutadores
D-Link DES-1210-08P
DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000 y DSR-1000N
Enrutador de Ethernet
Huawei HG8245 Enrutador
Linksys E1200, E2500, E3000 E3200, E4200, RV082 y WRVS4400N Enrutadores
МикроТик CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB941, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011,
RB Groove, RB Omnitik y STX5
Enrutadores
Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN y UTM50 Enrutadores
QNAP TS251, TS439 Pro y otros dispositivos QNAP NAS que ejecutan el software QTS Dispositivos NAS
TP-Link R600VPN, TL-WR741ND
y TL-WR841N
Enrutadores
Ubiquiti NSM2 y PBE M5 Puntos de acceso inalámbrico
ZTE ZXHN H108N Enrutador

Tabla 1. Algunos de los dispositivos afectados conocidos por VPNFilter

Según nuestros datos del 1 de junio al 12 de julio, muchos de los dispositivos todavía usan versiones de firmware antiguas. De hecho, 19 vulnerabilidades conocidas, que VPNFilter no solo aprovechó sino también otro malware, aún se pueden detectar en dispositivos hasta el día de hoy.

En el momento de nuestro escaneo, observamos que el 34 por ciento de las redes domésticas tenía al menos un dispositivo con una vulnerabilidad conocida. Descubrimos que el 9 por ciento de los dispositivos vulnerables se ven potencialmente afectados por VPNFilter.

Vulnerabilidades del dispositivo Dispositivos / Servicios Vulnerables
Vulnerabilidad de anulación de autenticación CVE-2015-7261 Servicio FTP de QNAP
Reaper Remote Code Execution CVE-2011-4723 D-Link DIR-300
Ejecución remota de código CVE-2014-9583 ASUS RT-AC66U, RT-N66U
Reaper OS Command Injection CVE-2013-2678 Linksys E2500
Vulnerabilidad de desbordamiento de búfer
CVE-2013-0229
Servicio de UPnP vulnerable (por ejemplo, Netgear / TP-Link / D-Link)
Vulnerabilidad de desbordamiento de la pila
CVE-2013-0230
Servicio de UPnP vulnerable (por ejemplo, Netgear / TP-Link / D-Link)
Ejecución remota de código CVE-2017-6361 QNAP QTS antes de 4.2.4 Build 20170313
Router JSONP Info Leak CVE-2017-8877 ASUS RT-AC * y RT-N *
Divulgación de contraseña del enrutador CVE-2017-5521 Netgear R6400, R7000, R8000
Vulnerabilidad de desbordamiento de la pila
CVE-2012-5958
Servicio de UPnP vulnerable (por ejemplo, Netgear / TP-Link / D-Link)
Vulnerabilidad de desbordamiento de la pila
CVE-2012-5959
Servicio de UPnP vulnerable (por ejemplo, Netgear / TP-Link / D-Link)
Reaper Router Remote Code Execution D-Link DIR-300
Divulgación de contraseña del enrutador Netgear WNR2000
Ejecución remota de código CVE-2016-6277 Netgear R6400, R7000
Enrutamiento sesión robo CVE-2017-6549 ASUS RT-N66U
Inyección de comando del sistema operativo CVE-2013-2679 Linksys E4200
Vulnerabilidad de anulación de autenticación Netgear WNR1000
Divulgación de contraseña del enrutador Netgear WNR1000
Vulnerabilidad de acceso al enrutador no autenticado TP-Link TL-WR841N

Tabla 2. 19 detecciones de vulnerabilidad en dispositivos afectados por VPNFilter

Como se esperaba, las 19 vulnerabilidades afectan principalmente a los enrutadores. Curiosamente, la vulnerabilidad de omisión de autenticación CVE-2015-7261, una falla de FTP (protocolo de transferencia de archivos) en el firmware NAS de QNAP, afecta principalmente a las impresoras en función de nuestra detección. Al determinar la posible razón detrás de esto, encontramos que muchos de los FTP de las impresoras detectadas podrían conectarse a la red sin ninguna autenticación. En algunos casos, esta puede ser la configuración predeterminada de la impresora, pero aún representa un posible riesgo de seguridad si el FTP se configura como abierto en Internet.

Figura 1. Un resultado Shodan de una conexión FTP a una impresora sin autenticación

Las otras vulnerabilidades detectadas, como el Desbordamiento de búfer  CVE-2013-0229  y Desbordamiento de pila  CVE-2013-0230 , pueden permitir a los atacantes provocar una denegación de servicio (DoS) y ejecutar código arbitrario en sistemas, respectivamente. Además, los Servicios UPnP vulnerables detectados no están asociados exclusivamente con dispositivos Netgear / TP-Link / D-Link, ya que otras marcas también podrían tener la misma vulnerabilidad. En ese caso, podemos esperar más detecciones.

Protección de dispositivos y redes contra el malware VPNFilter y otras vulnerabilidades

La amenaza del malware VPNFilter se ve aumentada por el hecho de que se detectaron otras vulnerabilidades conocidas públicamente en los dispositivos afectados. Dado que no todos los fabricantes de dispositivos ofrecen soluciones inmediatas para las vulnerabilidades descubiertas y no todos los usuarios aplican parches regularmente, los usuarios deben primero asegurar la forma en que configuran sus dispositivos y redes. La  solución Trend Micro ™ Home Network Security puede controlar el tráfico de Internet entre el enrutador y todos los dispositivos conectados. Nuestra herramienta IoT Smart Checker se ha integrado en la solución Home Network Security y  en el escáner HouseCall ™ for Home Networks . Las empresas también pueden monitorear todos los puertos y protocolos de red en busca de amenazas avanzadas y frustrar los ataques dirigidos con el   dispositivo de red Inspector Deep Discovery ™ de Trend Micro ™ .

Además de adoptar soluciones de seguridad que pueden proteger las redes y los dispositivos conectados de las vulnerabilidades a través de la identificación y evaluación de riesgos potenciales, recomendamos medidas de seguridad estándar, tales como:

  • Actualizar las versiones de firmware de los dispositivos una vez que estén disponibles para evitar ataques que explotan vulnerabilidades conocidas.
  • Evitar el uso de Wi-Fi público en dispositivos que también se usan en redes domésticas o corporativas.
  • Cambiar las credenciales predeterminadas del dispositivo y usar contraseñas seguras para impedir el acceso no autorizado.
  • Tenga cuidado con las URL sospechosas o los archivos adjuntos de fuentes desconocidas que pueden provocar la infección de dispositivos conectados a la red.

Los usuarios de la   solución Trend Micro Home Network Security también están protegidos contra vulnerabilidades particulares a través de estas reglas:

  • 1058981 Recorrido del directorio WEB -21
  • 1130327 EXPLOIT ASUSWRT 3.0.0.4.376_1071 Ejecución del comando LAN Backdoor (CVE-2014-9583)
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *