Millones de webcams, impresoras o modems utilizados como plataformas para ataques DDoS

0

webcamA pesar de lo extraño que en un principio os pueda resultar el titular está ocurriendo. Ciber-atacantes están montando ataques DDoS (Denegación de servicio distribuída) usando como base routers dométicos, puntos de acceso Wifi, modems con cable, webcams o impresoras.

Los atacantes están aprovechando ciertas vulnerabilidades en los protocolos que estos aparatos utilizan para “anunciarse” en las redes, según PLXsert. Cuando hablamos de anunciarse nos referimos al proceso de identificación propia que cualquier dispositivo lleva a cabo para informar de su identidad cuando se conecta a una red.

Las botnets se nutren de nuevos dispositivos

Los ataques fueron obsservados por vez primera en Julio y han generado un tráfico máximo (pico) de 54,35 Gbps, o lo que es lo mismo: 17,85
millones de paquetes por segundo
, según datos facilitados por la filial de AkamaiProlexic“.

En torno a 4,1 millones de dispositivos conectados a Internet utilizan el protocolo “plug-and-play” denominado Simple Service Discovery, estando configurados de una forma que los vuelve vulenrables al secuestro. La mayoría de estos dispositivos serían de tipo consumidor final (nosotros) por lo que no hay esperanzas de que sean parcheados o reconfigurados. Esto constituye un problema.

PLXsert predice, además, que los atacantes continuarán desarrollando nuevas herramientas que les permitan asumir el control de estos dispositivos -webcams, impresoras y lo anteriormente comentado- para crear ingentes Botnets (redes de bots o dispositivos controlados remotamente). Además, muchos fabricantes no tienen programas que les permitan administrar y actualizar estos dispositivos.

Fabricantes afectados por posibles ataques DDoS

Mitigación del posible ataque DDoS

Dado que estos ataques proceden de lugares muy dispares y máquinas diferentes, resulta difícil mitigar los problemas que ocasionan. Los expertos recomiendan que los usuarios bloqueen el tráfico en el puerto 1900 (usado en estos protocolos) que es el utilizado para acceder a los mencionados dispositivos.

Además, este “advisory” recomienda algunos pasos adicionales que podemos llevar a cabo para protegernos:

  • Bloquear las solicitudes que procedan de Internet hacia estos dispositivos.
  • Si estos dispositivos no necesitan estar habilitados, los deshabilitaremos.
  • Los aparatos que deban permanecer conectados a Internet deberán ser actualizados en la medida de lo posible.

Para generar estos ataques DDoS, los atacantes descubren dispositivos vulnerables (mediante herramientas automatizadas) y lo hacen enviando hacia estos dispositivos paquetes de tipo SOAP (Simple Object Access Protocol) que generan como resultado paquetes de respuesta desde la webcam o impresora de la víctima, lo que sirve a los atacantes a modo de confirmación de la vulnerabilidad. SOAP se utiliza para enviar mensajes de estado a estos dispositivos de uso cotidiano. Si queréis más información podéis revisar la nota informativa del CERT-US.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR