¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (68)
  • añadir a favoritos
    Añadir a marcadores

No olvide los ruoters

Consultas: 541 Comentarios: 7 Ranking: 9

Todos los días en la base de virus Dr.Web aparecen las entradas para la familia Linux.VPNFilter.

#drweb

¿Qué es esto?

VPNFilter – es un software nocivo destinado para infectar no los equipos ordinarios, sino los dispositivos de red, tales como routers y sistemas de almacenamiento de datos.

VPNFilter fue detectado en mayo de este año. Este malware sofisticado infectó como mínimo medio millón de routers Linksys, MikroTik, NETGEAR y TP-link, así como NAS fabricado por QNAP en 54 países del mundo.

https://xakep.ru/2018/06/04/vpnfilter-is-back

¿Por qué a los malintencionados los interesan los dispositivos de red? Es muy fácil: si para los equipos ordinarios alguien instala las actualizaciones, entre los dispositivos de red de hogar hay pocas actualizaciones regulares. Como resultado, los malintencionados no deben buscar las vulnerabilidades recientes y aún no cerradas. La vulnerabilidad puede ser conocida para el productor y corregida hace mucho (por ejemplo, antes de lanzar el nuevo firmware), pero los malintencionados pueden usarla sin miedo.

Los operadores de VPNFilter no usan ninguna vulnerabilidad 0-day para infectar dispositivos, sino usan varios bugs anteriormente detectados.

Es más: si las actualizaciones no se instalan, es cómodo para los malintencionados por otra razón. La notificación sobre la corrección de la vulnerabilidad normalmente contiene la información sobre esta vulnerabilidad. Y si no, el mismo hecho de lanzamiento de la actualización de seguridad es importante: los hackers pueden analizar las actualizaciones y encontrar la posible vulnerabilidad.

Una vez detectada la botnet VPNFilter, la FBI interceptó el control del servidor de control de los malintencionados toknowall.com. Para realizarlo, se usaba la técnica sinkhole – lo informamos en la edición «Cazando bots». Y luego fueron publicadas las instrucciones para los titulares de dispositivos vulnerables que permiten deshacerse de VPNFilter. Y se consideraba que los hackers rusos de Fancy Bear fueron autores de los programas nocivos, «que además se considera involucrado al ataque a la sede de demócratas durante las elecciones en los EE.UU. en el año 2016».

En general, por causa de la intercepción del servidor de los malintencionados no publicamos la edición correspondiente en aquel momento. Pero con el tiempo quedó claro que había que hacerlo: ¿qué es para los malintencionados la posibilidad de administrar del servidor y cuántos usuarios han leído las noticias? El bot seguía existiendo, y los ciberdelincuentes siguen añadiendo los módulos al mismo.

¿Qué les ofrece VPNFilter a los delincuentes? Permite controlar los datos que pasan a través del router o un dispositivo de almacenamiento. Se puede detectar las contraseñas en el tráfico, se puede insertar en el tráfico del sitio web abierto por el usuario algún script, un bloque de publicidad o la posibilidad de inicio del software nocivo. O chantajear al usuario con la amenaza de bloquear el acceso a la red.

Tampoco ayudará el reinicio del equipo – VPNFilter lo sobrevivirá tranquilamente.

En VPNFilter hay un módulo autónomo destinado para interceptar el protocolo de comunicación Modbus (ampliamente usado en la industria para organizar la comunicación entre los dispositivos electrónicos).

¿Qué se somete a la vulnerabilidad?

VPNFilter puede infectar muchos routers de varios tipos (enrutadores) y dispositivos NAS (servidores para guardar los datos a nivel de archivos).

  • Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
  • D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
  • Huawei (HG8245)
  • Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
  • MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
  • Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
  • TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
  • Ubiquiti (NSM2, PBE M5)
  • Upvel (modelos desconocidos)
  • ZTE (ZXHN H108N)

Dispositivos NAS vulnerables:

  • QNAP (TS251, TS439 Pro y otros con el software QTS instalado)

https://blog.zlonov.ru/vpnfilter

Pero este listado puede ser actualizado en cualquier momento.

Si lo pensamos bien, es una amenaza muy importante. Vd. tiene instalado un antivirus que se actualiza con regularidad y, por ejemplo, Vd. decide leer las noticias. Y verá lo que quiere enseñarle los hackers. Y no podrá hacer nada porque el acceso a los sitios web con recomendaciones desaparece de repente.

#Linux #vulnerabilidad #botnet #router #Control_parental #software_nocivo

Dr.Web recomienda

No olvide lo del router

  1. Desactive la administración remota del dispositivo por parte de Internet según la documentación de uso, deje solo el acceso desde la red local.
  2. Establezca la nueva contraseña del administrador y de otras cuentas usadas. Las contraseñas deben ser únicas y bastante complicadas.
  3. Si es posible activar el cifrado al configurar el dispositivo, hágalo.
  4. Actualice el firmware.

Para la protección contra VPNFilter parcialmente ayuda el reinicio. Más arriba hemos mencionado que VPNFilter lo sobrevive. Pero así mismo consiste de tres módulos, dos de los cuales no soportan el reinicio. Serán descargados otra vez, pero en este periodo Vd. podrá entrar en el sitio web del productor y buscar recomendaciones.

Mientras estábamos preparando la edición, fue publicada otra noticia:

Los investigadores del laboratorio 360 Netlab detectaron la actividad nociva que permitía a los malintencionados controlar los enrutadores no actualizados MikroTik. El ataque fue realizado al usar la vulnerabilidad CVE-2018-14847, corregida en la actualización de abril de MikroTikOS 6.42.1.

Según los datos de 360 Netlab, en la red actualmente hay cerca de 370 mil dispositivos MikroTik con la vulnerabilidad no corregida. Así mismo, en más de 7500 dispositivos estaban activada la configuración de intercepción de paquetes y copia espejo del tráfico interceptado. En 239 mil dispositivos fue detectada la creación del punto oculto de redirección del tráfico.

Así mismo, fue detectado un intento sin éxito de usar los enrutadores para involucrar a los usuarios en el mining de la criptomoneda.

http://www.opennet.ru/opennews/art.shtml?num=49226

A propósito, otra vez hubo un intento de usar JavaScript desde el sitio web coinhive.com, por lo tanto recordamos la necesidad de bloquear acceso a los sitios web novios con el Control parental Dr.Web.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios