Hackers se apoyan en routers situados en hogares para atacar sitios web WordPress

Un grupo de hackers se está apoyando en routers para el hogar inseguros para lanzar ataques coordinados de fuerza bruta contra paneles de administración de sitios web WordPress.

Como no podía ser de otra forma, el objetivo es obtener la contraseña de una cuenta de administración para adueñarse del sitio web (ya que la fuerza bruta consiste en ir probando contraseñas hasta acertar, generalmente utilizando un diccionario). El hecho de apoyarse en routers situados en hogares permite a los hackers esparcir sus ataques de fuerza bruta a través de miles de IP diferentes, esquivando así cortafuegos y listas negras.

Los encargados del desarrollo de WordFence, un plugin de seguridad para WordPress, han sido los que han descubierto este ataque, diciendo que el grupo de hackers detrás de esta campaña se está apoyando en dos fallos de seguridad (1 y 2) en el protocolo de gestión del router TR-069, los cuales utiliza para hacerse con el control de los dispositivos. La explotación de los fallos se tiene que hacer a través del envío de peticiones maliciosas por el puerto 7547.

Según los expertos, los hackers solo están haciendo unos pocos intentos de acceso desde cada router con el fin de mantener un perfil bajo en sus ataques. De momento no se conoce el tamaño de la botnet creada, pero podría haber incluso más de una botnet. WordFence dice que el 6,7% de todos los ataques de fuerza bruta contra sitios web WordPress en 2017 vienen de routers con el puerto 7547 abierto de cara a Internet.

Los ataques pueden proceder de hasta 28 ISP diferentes

WordFence ha rastreado a algunos de los ciberdelincuentes a través de 28 ISP de todo el mundo, de las cuales 14 tienen una gran cantidad de routers con el puerto 7547 abierto a conexiones externas. La lista completa se puede consultar desde aquí. En muchos de esos incidentes, los ataques fueron rastreados hasta routers Zyxel ZyWALL 2. Por otro lado, se conoce que algunos modelos routers de ese fabricante están afectados por los fallos de TR-069.

A finales del año pasado, un hacker intentó secuestrar casi un millón de routers, principalmente de ISP de Alemania y Reino Unido. Muchos de los routers eran de la marca Zyxel y lo que pretendía el hacker era crear una botnet utilizando el troyano Mirai para realizar ataques DDoS.

Las ISP podrían detener fácilmente los ataques contra los paneles de administración de WordPress

Los expertos en seguridad de WordFence recomiendan a los usuarios limitar el acceso a través del puerto 7547. Sin embargo, hay que tener en cuenta que la mayoría de los usuarios no tienen conocimientos suficientes como para tratar con puertos, además de que por lo general los routers suelen tener cerrados los puertos no asignados.

Debido a esta situación, WordFence argumenta que “las ISP tendrían que filtrar el tráfico en sus propias redes procedente de Internet que apunta al puerto 7547. El único tráfico que tendría que estar permitido es el tráfico de la propia configuración automática de los servidores o los servidores ACS hacia y desde el equipo del cliente”, comenta Mark Maunder, CEO de WordFence.

Fue originalmente publicada en: Muyseguridad.net

About Gustavo Genez 415 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.