O ataque aos roteadores na Alemanha

De acordo com Pavel Šrámek, analista de malwares da Avast, o problema está na implementação vulnerável de um protocolo de gerenciamento remoto dos equipamentos

Compartilhar:

Cerca de 900 mil roteadores ficaram fora do ar no domingo (27) e segunda-feira (28) na Alemanha, após hackers os terem atacado com o objetivo de integrá-los a uma botnet. Muitos alemães ficaram sem TV, Telefone e Internet.

 

“O problema está em uma implementação vulnerável do protocolo de gerenciamento CPE WAN (ou CWMP, também chamado TR-069). Esse protocolo é usado por alguns provedores de internet, como a Deutsche Telekom, para gerenciar remotamente os roteadores de seus clientes quando precisam, por exemplo, ajustar as configurações do DNS (Domain Name Service) ou do Network Time Protocol (NTP). Esse protocolo usa a porta TCP 7547, que é amplamente utilizada para isso em todo o mundo. De fato, com mais de 40 milhões de instâncias abertas, a porta TCP 7547 é a segunda mais aberta em toda a Internet pública, já que a primeira é a porta TCP 80, usada para HTTP.

 

No entanto, já que que muitos provedores de internet a deixam aberta, ela é livremente acessível e por isso pode ser abusada por parte de atacantes, para hackear roteadores nos quais o serviço CWMP está vulnerável. O que é especialmente desagradável sobre isso é que os invasores podem fechar a porta depois de ter infectado o roteador com malware, para que o provedor de internet não possa mais acessar aquela porta para removê-lo remotamente.

 

O ataque aproveitou uma falha, recentemente divulgada, no processamento dos endereços de servidores NTP (servidores de horário). Normalmente, o protocolo CWMP permite que o provedor de internet envie o nome de um servidor NTP no qual o roteador poderá obter a hora atual, para configurar o seu relógio. Através dessa vulnerabilidade, é possível que os invasores substituam o nome do servidor NTP por uma série de comandos que são executados pelo roteador – por exemplo, o download e a execução de malware. No entanto, nem todos os roteadores gerenciados pelo CWMP são afetados – estão vulneráveis apenas os que não exigem autenticação para esse pedido. Portanto, os roteadores da Deutsche Telekom foram afetados, enquanto os da Verizon, que exigem uma autenticação, não foram.

 

Essa vulnerabilidade permite a execução remota de código em muitos outros roteadores e está presente, por exemplo, em roteadores Speedport distribuídos pela Deutsche Telekom. Muitos provedores de internet negligenciaram a atualização de seus dispositivos, deixando um verdadeiro paraíso para os cibercriminosos, já que através dessa vulnerabilidade podem atacar centenas de milhares de dispositivos ao mesmo tempo. Os autores da rede de bots Mirai, que anteriormente infectaram câmeras IP protegidas apenas pelas senhas-padrão, já começaram a abusar desta vulnerabilidade, e é possível que também estejam por trás do ataque aos clientes da Deutsche Telekom.

 

Muitos clientes da Deutsche Telekom agora sabem que é encrenca ter um roteador inseguro. No entanto, podemos afirmar que isso pode ser apenas o começo do que poderá acontecer no futuro. O próximo passo para os invasores pode ser hackear outros dispositivos domésticos, como câmeras web, TVs inteligentes ou termostatos, uma vez que eles ganham acesso ao roteador.

 

Como empresa de segurança digital, estamos colaborando com os fabricantes de roteadores para encontrar soluções que os tornarão mais seguros. O software de segurança deve ser implementado diretamente no roteador, que é o ponto central da rede doméstica, conectando todos os dispositivos de uma casa inteligente com a Internet.

 

* Pavel Šrámek é analista de malwares da Avast

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365