Linksys: víctima de DNS hijacking en sus routers

Los routers de Linksys han sido, según informa la firma de seguridad Bitdefender, víctimas de un ataque por el cual, los atacantes pueden modificar los servidores DNS configurados en el mismo (DNS hijacking). De este modo, buena parte del tráfico saliente de los usuarios afectados ha sido redirigido a páginas supuestamente relacionadas con el coronavirus. La relación es, claro, ficticia, ya que en realidad lo que acababan descargando algunos de esos usuarios era malware.

Como solución de emergencia para evitar que este problema se extienda y afecte a más usuarios, Linksys ha optado por el restablecimiento masivo de las contraseñas que empleaban sus clientes para acceder al servicio Linksys Smart WiFi. La función del mismo es proveer una vía de acceso a la administración del router desde cualquier lugar si se cuenta con conexión a Internet. Esto facilita en gran medida la gestión remota de estos dispositivos y, por lo tanto, resulta una función particularmente útil.

Sin embargo, y aunque todavía no está claro de qué modo, los atacantes han podido acceder a la configuración de 1.193 usuarios, según estimaciones de Bitdefender, que se basa en el número acumulado de descargas del malware al que los routers afectados redirigían parte del tráfico web de las personas afectadas. El problema con esta cifra es que actualmente se tiene conocimiento de un repositorio (alojado en Bitbucket), pero no se puede dar por seguro que no existan otros.

Los sitios afectados, es decir, aquellos cuyo tráfico era redirigido al patógeno es de lo más variada: desde Disney hasta sitios pornográficos, pasando por instituciones educativas, bancos de imágenes y el popular foro Reddit. En todos los casos, cuando los usuarios intentaban acceder a estos contenidos, en su lugar se mostraba un mensaje que fingía provenir de fuentes oficiales, más concretamente de la OMS, y los instaba a descargar e instalar en sus sistemas una aplicación que ofrecía información e instrucciones sobre cómo actuar frente al coronavirus.

Según la compañía, el ataque se ha llevado a cabo empleando credenciales que habían sido previamente robadas de otros servicios, negando así toda responsabilidad por parte de la compañía y sus servicios y dispositivos. Para afirmar esto se basa, entre otros factores, en que en los ataques se emplearon identificadores que nunca habían sido dados de alta en el servicio. Esto, claro, invita a pensar en un ataque masivo empleando una base de datos de credenciales recopiladas en otras fuentes (o adquiridas en el mercado negro).

Todos los usuarios de Linksys Smart WiFi tendrán que restablecer su contraseña de acceso al servicio. Una vez hecho esto, el sistema realizará un análisis del dispositivo, para comprobar si la configuración de los servidores DNS se ha modificado y apunta a las direcciones IP relacionadas con esta acción, 109.234.35.230 y 94.103.82.249. En tal caso el usuario es informado de esta circunstancia y de cómo resolverla.

Este episodio es, sin duda, un recordatorio más de que una política laxa en lo relativo a las contraseñas puede suponer un serio problema. Es por ello que te recomendamos encarecidamente que revises nuestra guía de buenas prácticas.

 

Imagen: Raimond Spekking

La entrada Linksys: víctima de DNS hijacking en sus routers es original de MuySeguridad. Seguridad informática.