BCMPUPnP_Hunter Botnet – router hogareños transformados en spammers
Una botnet recientemente descubierta ha tomado el control de 100,000 enrutadores domésticos de varios fabricantes, al explotar una vulnerabilidad crítica que ha permanecido sin atención por más de cinco años después de que salió a la luz.
Los investigadores de Netlab 360, que informaron sobre la infección masiva a fines de la semana pasada, han apodado la botnet BCMUPnP_Hunter. El nombre es una referencia a una implementación defectuosa del protocolo Universal Plug and Play integrado en los conjuntos de chips Broadcom utilizados en dispositivos vulnerables. Un aviso publicado en enero de 2013 advirtió que la falla crítica afectaba a los enrutadores de una serie de fabricantes, incluidos Broadcom, Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear y US Robotics. El hallazgo de Netlab 360 sugiere que muchos dispositivos vulnerables podían ejecutarse sin haber sido parcheados o bloqueados por otros medios.
Una vez que están bajo el control de los atacantes, los enrutadores se conectan a una variedad de servicios de correo electrónico conocidos, incluidos Outlook, Hotmail y Yahoo Mail. Esta es una clara indicación de que los dispositivos infectados se están utilizando para enviar correo no deseado u otros tipos de correo malicioso. De acuerdo con Netlab 360, el código que infecta los dispositivos con BCMUPnP_Hunter requiere una variedad de pasos que hacen que el seguimiento de su progreso sea un desafío. Como explicó el post de la semana pasada:
“The interaction between the botnet and the potential target takes multiple steps; it starts with tcp port 5431 destination scan, then moving on to check target’s UDP port 1900 and wait[ing] for the target to send the proper vulnerable URL. After getting the proper URL, it takes another 4 packet exchanges for the attacker to figure out where the shellcode’s execution start address in memory is so a right exploit payload can be crafted and fed to the target.
At the beginning we were not able to capture a valid sample, as the honeypot needs to be able to simulate the above scenarios. We had to tweak and customize our honeypot quite a few times, then finally in October, we got it right and successfully tricked the botnet to send us the sample (we call it BCMUPnP_Hunter).”
Las personas que usan cualquiera de los 116 modelos enumerados por Netlab 360 deben verificar inmediatamente si hay un parche disponible. En el caso de que no haya una solución disponible, el dispositivo vulnerable debe ser reemplazado. Además, deberían considerar la posibilidad de deshabilitar UPnP.
No está claro aún, cómo se pueden desinfectar los enrutadores infectados con BCMUPnP_Hunter. Por lo general, basta con reiniciar un enrutador comprometido.