VPNFilter el nuevo malware que aprovecha vulnerabilidades círiticas de routers y dispositivos NAS

30/05/2018

Desde CSIRT-CV les informamos de la aparición de vulnerabilidades críticas en distintos modelos de routers de diferentes fabricantes enfocados a uso doméstico, pequeñas y medianas empresas, así como modelos de NAS que se cree pueda afectar a más de 500000 routers de unos 54 paises en todo el mundo y que una vez comprometidos puedan ser utilizados como botnet para realizar diversos ataques dirigidos de DDOS, escaneo y reconocimiento de puertos TCP, exfiltración de datos de usuario y ataques contra infraestructuras SCADA.


Las marcas y modelos afectados son los siguientes:

Linksys: E1200 E2500 WRVS4400N

Versiones Mirkotik Router OS para cloud core routers: 1016 1036 1072

Netgear: DGN2200 R6400 R7000 R8000 WNR1000 WNR2000

Qnap (NAS): TS251 TS439 Pro

TP-LINK: R600VPN


El malware VPNFilter está considerado como muy sofisticado, según investigadores de Cisco tiene bastantes similitudes con BlackEnergy, un malware destinado al ataque contra infraestructuras críticas SCADA y sobretodo centrales elétricas y empresas relacionadas con el sector energético, supuestamente utilizado por el gobierno ruso en operaciones dirigidas contra Ucrania.

La infección y posterior toma de control consta de 3 fases reconocidas, donde en una primera se introduce el malware que actúa como command and control y que consigue persistencia tras un reinicio y sirve como lanzadera para lanzar la segunda fase, que aunque no es persistente a reinicios ya permite ejecutar código remoto, exfiltración de información, descarga de ficheros del sistema y acceso a la configuración del dispositivo, así como autodestruir el sistema si se desea.

En la tercera fase se busca añadir funcionalidad modular en forma de plugins al malware no persistente de la fase 2, donde se instala un sniffer de red que analiza todo el tráfico de la consiguiente red incluyendo robo de credenciales y monitorización de protocolos SCADA, así como añadir funcionalidades de comunicación mediante TOR para ocultar la exfltración de información y posterior ejecución de comandos remotos.

Las recomendaciones de seguridad por parte de CSIRT-CV son:

1. Restaurar el router de fábrica para eliminar el código malicioso persistente.

2. Actualizar el firmware del dispositivo a la última versión disponible.

En caso de no tener parche disposible por parte del fabricante para el modelo concreto y no poder restaurar el router de fábrica se recomienda al menos reiniciarlo para que las fases 2 y 3 pierdan la persistencia.

Hay noticias de que el FBI ha encontrado y bloqueado un servidor de comand and control relacionado con este tipo de malware, pero es probable que los routers comprometidos puedan ser infectados de nuevo cambiando la dirección del servidor por lo que únicamente reiniciar no es la opción más recomendable.

Más información: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/el-malware-vpnfilter-afecta-routers-y-dispositivos

Fuente: https://blog.talosintelligence.com/2018/05/VPNFilter.html