He escuchado de otros que hay un nuevo gusano llamado "alce". Esto ataca y explota activamente los enrutadores domésticos.
¿Cuáles son los efectos de este exploit?
¿Cómo puedo protegerme de esto?
¿Puedo comprobar si mi enrutador es vulnerable?
ESET lanzó un informe sobre la vulnerabilidad aquí . Sus principales hallazgos son:
- Linux / Moose se dirige a los enrutadores y módems de los consumidores, incluido el hardware proporcionado por los proveedores de servicios de Internet (ISP) a los consumidores
- La amenaza está diseñada para una penetración profunda de la red que se propaga a través de cortafuegos
- Puede escuchar las comunicaciones desde y hacia los dispositivos conectados detrás del enrutador infectado, incluidos equipos de escritorio, computadoras portátiles y dispositivos móviles. teléfonos
- Moose ejecuta un servicio de proxy integral (SOCKS y HTTP) al que solo se puede acceder mediante una lista específica de direcciones IP
- Los operadores utilizan los dispositivos infectados para realizar fraudes en las redes sociales en Twitter, Facebook, Instagram, Youtube y más
- Moose se puede configurar para redireccionar el tráfico de DNS del enrutador, lo que permite los ataques de intermediarios a través de Internet
- Afecta a los dispositivos integrados basados en Linux que se ejecutan en las arquitecturas MIPS y ARM
Si observamos cómo se propaga, una declaración es muy importante aquí:
Por último, pero no menos importante, esta amenaza se propaga solo al comprometer los sistemas. Con credenciales débiles o por defecto. Ninguna vulnerabilidad es explotada por el malware Aunque minimizado por los administradores del sistema, este ataque El vector ha sido efectivo en comprometer una gran cantidad de conexión a Internet. sistemas Como FireEye declaró recientemente: "Bruto forzando credenciales sigue siendo una de las 10 formas más comunes en que una organización es la primera violado.
Han enumerado algunos de los dispositivos que pueden verse afectados:
Proveedores de equipos de red
Proveedores de electrodomésticos
APC, hermano, Konica / Minolta, Kyocera, Microplex, Ricoh, Toshiba, Xerox
Proveedores de Internet de las cosas
Hik Vision, Leviton
Indicadores de compromiso
Si las credenciales se pueden usar a través de Telnet para iniciar sesión, si Telnet está habilitado de forma predeterminada y si se puede obtener un acceso de shell escribiendo sh En el indicador del dispositivo, estos son muy buenos indicadores de que El dispositivo podría estar infectado por Linux / Moose.
Prevention
Cambie las contraseñas predeterminadas en el equipo de red incluso si no lo está Accesible desde internet. Deshabilite el inicio de sesión de Telnet y use SSH donde posible. Asegúrese de que su enrutador no sea accesible desde el Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no está seguro de cómo realizar esta prueba, cuando está en casa, use el escaneo de "puertos comunes" del servicio ShieldsUP de GRC.com. Asegúrese de que los puertos mencionados reciban un Stealth o Closed estado. Ejecutando el firmware más reciente disponible desde su incrustado También se recomienda el proveedor del dispositivo.
Lea otras preguntas en las etiquetas vulnerability exploit router zero-day