Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai

A finales del mes de noviembre, la firma en seguridad Checkpoint advirtió de una grave vulnerabilidad remota en routers Huawei HG532, pero no ha sido hasta esta semana, cuando se ha hecho público el análisis de la vulnerabilidad y su uso en el despliegue de una nueva botnet basada en Mirai.
El abuso de routers domésticos se ha vuelto una gran mina para los atacantes, ya que existen millones de dispositivos sin actualizar y gravemente expuestos. Es por ello que los creadores de botnets suelen centrarse en grandes fabricantes, como Huawei.
La vulnerabilidad (CVE-2017-17215) se presentaría por unas incorrectas políticas de seguridad en la implementación del protocolo de administración remota TR-064. Un atacante podría, a través de peticiones especialmente manipuladas al puerto 37215, ejecutar comandos en el dispositivo y tomar control del mismo.
En concreto, el servicio vulnerable comentado por los investigadores de Checkpoint, sería el “DeviceUpgrade“, encargado de actualizar el dispositivo. Mediante peticiones a este servicio y la inclusión de comandos bajo los apartados ‘NewStatusURL‘ y ‘NewDownloadURL‘, se podría descargar y ejecutar código arbitrario, como se puede apreciar en la captura:
Petición de ejecución de comandos – Fuente: Checkpoint


Una vez infectado el dispositivo, pasaría a formar parte de esta nueva variante de botnet Mirai, denominada por Checkpoint como OKIRU/SATORI. Según sus análisis, existirá una alta actividad de la misma en países como EEUU, Alemania, Italia o Egipto, entre otros.

Por su parte, Huawei ha publicado las contramedidas necesarias para bloquear este tipo de ataques, principalmente, activando el cortafuegos del dispositivo.

José Mesa
@jsmesa

Más información:

Security Notice – Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en

Huawei Home Routers in Botnet Recruitment
https://research.checkpoint.com/good-zero-day-skiddie/

Huawei Routers Exploited to Create New Botnet
https://blog.checkpoint.com/2017/12/21/huawei-routers-exploited-create-new-botnet/


Huawei HG532 Router Remote Code Execution
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1016.html

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 1909 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.