¿Puedo proteger mi enrutador de un gusano Mirai y cómo puedo saber si soy vulnerable?

Como dice tu cita; cambiar la contraseña Sería mucho más difícil de arreglar si Mirai usara vulnerabilidades 'reales' (errores de software, es decir, corrupción de memoria). Entonces tendrías que esperar que haya una actualización disponible y aplicar eso. Pero parece que solo se está aprovechando de las personas que dejan sus dispositivos con el proverbial 'changeme' como contraseña.

Esto puede ser útil, aunque es un poco específico para netgear (DG834, etc.): enlace

Alguna información obtenida de DEFCON 2014, después de que hackearon mi netgear hace unas semanas.

El problema no es la contraseña en sí misma, como la puerta trasera que se implementó para telnet. No todas las implementaciones usan nvram para permitir esa solución en particular, pero entonces no todas las implementaciones tienen una puerta trasera estúpida. Excepto, por supuesto, que los enrutadores provistos por ISP son notoriamente vulnerables a cualquier cosa que esté pasando y, en ocasiones, impiden que el usuario corrija la situación. Consigue una nueva caja.

¡Por el amor de Dios, al menos cambie la contraseña predeterminada! (Buena pena)

Mi primer paso sería (exportar la configuración y) actualizar al último firmware. O bien, considere uno de los muchos firmware de código abierto como dd-wrt, openwrt, pfsense, etc., que están basados en Linux o BSD.

Cambie la contraseña como mínimo, pero cambie también la cuenta "admin". En el antiguo netgear, no hay una GUI para esto, pero puede editar el nombre de la cuenta de administrador en la configuración exportada antes de volver a importar, o incluso usar telnet a través de busybox (pero tenga cuidado con caracteres especiales como >).

Algunas personas recomiendan cambiar la IP predeterminada 192.168.0.1 a otra cosa; claramente, esto significa que también debe volver a conectarse a su caja principal configurando la nueva IP del enrutador allí.

También apague el UPnP del enrutador, que inhibe cualquier ataque de reencuadernación de DNS, y para estar más seguro, restrinja las direcciones del ISP al rango de bloque utilizado por el ISP, usando ipconfig (en el enrutador). También puede restringir los puertos a los que sabe que va a necesitar, pero su mantenimiento es más oneroso y le resultará desconcertante si algo no funciona, ya que necesita un puerto que usted no ha permitido.

Ayuda a responder a los pings externos con una "caída" como acción predeterminada, por lo que eres un poco más sigiloso (la marcación se vuelve más complicada).

Finalmente, pruebe con algo como enlace

Espero que eso ayude.

No hay ningún servicio orientado hacia el exterior (WAN) que se ejecute en su enrutador. Portscan su propia IP con un explorador de puertos en línea, o hágalo usted mismo con zenmap. Las banderas sS -Pn -oN scan.txt -pT:1-65535 -vv T4 -n yourIP le mostrarán qué servicios están abiertos. Verifique cualquier servicio abierto con -sV , o use amap. Generalmente deshabilita IPv6 y UPnP a menos que uses esas cosas. Si lo necesita, instale OpenWRT o DDWRT sobre el firmware predeterminado, que es bastante confiable y seguro. El malware IIRC Morai ataca tipos específicos de dispositivos, no marcas importantes de enrutadores SoHo como ZyXEL, etc.

Puede verificar las credenciales predeterminadas en ssh, telnet, etc. con hydra y una buena lista de palabras de enrutador (use Google para encontrar una).

El gusano Mirai se abre camino en un sistema mediante el uso de números brutos de puertos específicos que ejecutan telnet. El ataque de fuerza bruta funciona al buscar credenciales predeterminadas comunes en el puerto telnet. Aquí hay una foto del diccionario de nombre de usuario / contraseña de Mirai:

Paraevitarestetipodeataque,hayalgunascosasquepuedeshacer.

1. Asegúresedequesuenrutadorestéactualizadoconelúltimofirmwareysoftware.
2. Cambielacontraseñapredeterminadadesuenrutadoraalgofuerteyúnico.Asegúresedeevitarlascontraseñasenestalista(oencualquierotralistadepalabrasqueencuentre).
3. Compruebesitieneunservidortelnet,SSHocualquierotroserviciodeaccesoremotoenejecución.Paraverificaresto,verifiqueelpaneldeadministracióndelenrutadorouseunescánerdepuertoscomoNmap.Sielaccesoremotoestáhabilitado,esposiblequedeseedeshabilitarlo,dependiendodesuconfiguración.

AunqueMiraiWOrmsoloestádirigidoadispositivosqueejecutanservidoresdetelnet,esimportanterecordarquequeremosprotegerlosdeltipodeataque,nodeunespecífico.Porlotanto,debeinvestigarotrospuertosensuenrutador(comoSSH)comosemencionóanteriormenteparaevitarotrosataquesodiferentes"sabores" de los futuros gusanos Mirai.

Puede encontrar un estudio de caso que proporciona más información sobre el gusano Mirai Aquí , si estás interesado.