Linksys: víctima del secuestro de DNS en sus enrutadores

33
Router Linksys WRT54GL v1.1

Los enrutadores Linksys han sido, de acuerdo con los informes la empresa de seguridad Bitdefender, víctimas de un ataque por el cual los atacantes pueden modificar los servidores DNS configurados en él (secuestro de DNS). De esta manera, una gran parte del tráfico saliente de los usuarios afectados ha sido redirigido a páginas supuestamente relacionadas con el coronavirus. La relación es, por supuesto, ficticia, ya que de hecho lo que algunos de esos usuarios terminaron descargando fue malware.

Como solución de emergencia para evitar que este problema se propague y afecte a más usuarios, Linksys ha optado por restablecimiento masivo de contraseñas que usaban sus clientes para acceder al servicio Linksys Smart WiFi. La función es proporcionar una ruta de acceso a la administración del enrutador desde cualquier lugar si tiene una conexión a Internet. Esto facilita enormemente la gestión remota de estos dispositivos y, por lo tanto, es una función particularmente útil.

MS recomienda

¿Virtualizas en tu empresa? ¡Participa en nuestro estudio y cuéntanos tu secreto! Leer
¿Sabes cómo modernizar tu arquitectura de análisis de datos? Leer
Seis estrategias para simplificar la integración de datos. Acceder

Sin embargo, y aunque todavía no está claro de qué manera, los atacantes han podido acceder a la configuración de 1.193 usuarios, de acuerdo con las estimaciones de Bitdefender, que se basa en el número acumulado de descargas del malware al que los enrutadores afectados redirigieron parte del tráfico web de las personas afectadas. El problema con esta figura es que actualmente se conoce un repositorio (alojado en Bitbucket), pero no se puede tomar con seguridad de que no haya otros.

Los sitios afectados, es decir, aquellos cuyo tráfico fue redirigido al patógeno es de los más variados: desde Disney a sitios pornográficos, a través de instituciones educativas, bancos de imágenes y el popular foro de Reddit. En todos los casos, cuando los usuarios intentaban acceder a este contenido, se mostraba un mensaje que pretendía provenir de fuentes oficiales, más específicamente de la OMS, y les instaba a descargar e instalar una aplicación en sus sistemas que ofrecía información e instrucciones sobre cómo lidiar con el coronavirus.

Según la compañía, el ataque se llevó a cabo utilizando credenciales que previamente habían sido robadas de otros servicios, negando así toda responsabilidad por parte de la empresa y sus servicios y dispositivos. Para afirmar esto, se basa, entre otros factores, que los ataques utilizaron identificadores que nunca se habían registrado con el servicio. Esto, por supuesto, lo invita a pensar en un ataque masivo utilizando una base de datos de credenciales recopiladas de otras fuentes (o adquiridas en el mercado negro).

Todos los usuarios de Linksys Smart WiFi deberán restablecer su contraseña para acceder al servicio. Una vez hecho esto, el sistema realizará un análisis del dispositivo, para verificar si la configuración de los servidores DNS ha sido modificada y señala las direcciones IP relacionadas con esta acción, 109.234.35.230 y 94.103.82.249. En tal caso, se informa al usuario de esta circunstancia y de cómo resolverla.

Este episodio es, sin duda, un recordatorio más de que la política de contraseña laxa puede plantear un problema grave. Es por eso que le recomendamos que revise nuestra guía de buenas prácticas.

Imagen: Raimond Spekking

Dejar respuesta

Please enter your comment!
Please enter your name here