La lista de routers afectados por VPNFilter crece, aplica estas medidas

Desde que fue descubierta, la amenaza que han bautizado como VPNFilter ha puesto en jaque a cientos de miles de dispositivos IoT (como routers domésticos y de pequeña oficina) y, en muchos casos, los ha convertido en miembros de botnets como Mirai.

vpnfilter1

Este malware se sospecha está originado desde Rusia por parte de grupos con apoyo gubernamental, como sería el denominado como Sofacy, Fancy Bear… depende a quién preguntemos.

Malware VPNFilter ataca a routers en todo el mundo

Debido al peligro que supone para los consumidores, el FBI alertó recientemente a los usuarios para pedirles que por favor reiniciaran sus dispositivos -routers domésticos y de pequeña empresa- para detener parte de la infección. Este y otros datos, así como las medidas de protección los puedes encontrar en este artículo de protegermipc.net.

Así funciona VPNFilter

Es importante diferenciar las diferentes etapas por las que atraviesa un equipo infectado por VPNFilter.

  • Fase 1: Se realiza la instalación inicial del malware para intentar conseguir persistencia en el equipo, intentando garantizar la supervivencia aunque este sea reiniciado. Se establece contacto con el servidor C & C para recibir datos.

etapa-1-vpnfilter

  • Fase 2: La carga principal o payload es descargada. En este momento el malware ya puede ejecutar comandos, recopilar archivos, enviar datos nuestros al exterior y reconfigurar el dispositivo.
  • Fase 3: fases posteriores se llevan a cabo con la instalación individual de módulos que expanden las capacidades de VPNFilter.

El malware es peor de lo que se pensó en un primer momento, ya que ahora se le ha dotado de capacidades adicionales. Podría, por ejemplo, realizar ataques “hombre en el medio” o MiTM mediante un módulo llamado ssler.

Dispositivos afectados

De entre la siguiente lista de dispositivos afectados, se marcan como nuevos los que no se informaron en el primer momento:

ASUS

  • RT-AC66U (nuevo)
  • RT-N10 (nuevo)
  • RT-N10E (nuevo)
  • RT-N10U (nuevo)
  • RT-N56U (nuevo)
  • RT-N66U (nuevo)

DLINK

  • DES-1210-08P (nuevo)
  • DIR-300 (nuevo)
  • DIR-300A (nuevo)
  • DSR-250N (nuevo)
  • DSR-500N (nuevo)
  • DSR-1000 (nuevo)
  • DSR-1000N (nuevo)

HUAWEI

HG8245 (nuevo)

LINKSYS

  • E1200
  • E2500
  • E3000 (nuevo)
  • E3200 (nuevo)
  • E4200 (nuevo)
  • RV082 (nuevo)
  • WRVS4400N

MICROTIK

  • CCR1009 (nuevo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nuevo)
  • CRS112 (nuevo)
  • CRS125 (nuevo)
  • RB411 (nuevo)
  • RB450 (nuevo)
  • RB750 (nuevo)
  • RB911 (nuevo)
  • RB921 (nuevo)
  • RB941 (nuevo)
  • RB951 (nuevo)
  • RB952 (nuevo)
  • RB960 (nuevo)
  • RB962 (nuevo)
  • RB1100 (nuevo)
  • RB1200 (nuevo)
  • RB2011 (nuevo)
  • RB3011 (nuevo)
  • RB Groove (nuevo)
  • RB Omnitik (nuevo)
  • STX5 (nuevo)

NETGEAR

  • DG834 (nuevo)
  • DGN1000 (nuevo)
  • DGN2200
  • DGN3500 (nuevo)
  • FVS318N (nuevo)
  • MBRN3000 (nuevo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nuevo)
  • WNR4000 (nuevo)
  • WNDR3700 (nuevo)
  • WNDR4000 (nuevo)
  • WNDR4300 (nuevo)
  • WNDR4300-TN (nuevo)
  • UTM50 (nuevo)

QNAP

Todos los dispositivos con sistema operativo QTS. Además, los modelos:

  • TS251
  • TS439 Pro

TPLINK

  • R600VPN
  • TL-WR741ND (nuevo)
  • TL-WR841N (nuevo)

UBIQUITI

  • NSM2 (nuevo)
  • PBE M5 (nuevo)

ZTE

  • ZXHN H108N (nuevo)

Medidas de protección y preventivas

Las medidas de protección pasan por varios pasos, que podemos describir en orden cronológico como:

  1. Reiniciar el router (no eliminará completamente la infección) para que al menos el malware no pueda realizar ataques en su fase 2.
  2. Realizar un restablecimiento de fábrica.
  3. Actualizar el firmware del dispositivo si es posible.
  4. Cambiar la contraseña por defecto para la cuenta de administrador.
  5. Desactivar la administración remota.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.