Ojo si tienes uno de estos routers WiFi: un país los está atacando y ha encontrado una puerta trasera
Miles de enrutadores ASUS sufren una vulnerabilidad que está siendo explotada por los hackers. El ataque es silencioso y si tienes este modelo tal vez sea uno de los afectados.
La Policía ha advertido en varias ocasiones lo peligroso que pueden llegar a ser los routers WiFi si no se toman las precauciones adecuadas. Muchos de estos dispositivos quedan desactualizados y se siguen usando e incluso hay tácticas que usan los ciberdelincuentes para intervenir la red.
Aunque existen muchas señales que indican que un enrutador está infectado, en este caso, un nuevo ataque masivo está pasando desapercibido por una vulnerabilidad que están aprovechando los hackers y que afecta directamente a algunos modelos de ASUS.
Al ser amenazas silenciosas que no levantan alarmas, son difíciles de detectar y en este preciso momento se podrían estar generando problemas en el uso de dichos dispositivos si no se detienen a tiempo. A continuación, tienes todos los detalles para evitar que le pase lo mismo a tu enrutador.
Un exploit logra burlar la seguridad de más de 9.000 routers WiFi
En un informe reciente de GreyNoise y Censys, el equipo de investigadores ha revelado un descubrimiento de una explotación en la vulnerabilidad CVE-2023-39780 que, hasta la fecha, van más de 9.000 routers ASUS afectados, especialmente los modelos RT-AC3100, RT-AC3200 y otros similares que han sido utilizados en las pruebas de detección.
El problema se trata de una intervención en las configuraciones de fábrica del dispositivo “Out-Of-Box”, el cual se ha identificado con la ayuda de la inteligencia artificial Sift de la propia compañía que, después de realizar un análisis exhaustivo, se han encontrado intentos de dos tácticas de elusión de autenticación sin CVE para usar comandos arbitrarios sin levantar alarmas.
El exploit usa características esenciales del router para camuflarse como algo “legítimo” con el fin de usar el SSH en un puerto personalizado (TCP/53282). Esto lo hacen para poder agregar una clave pública maliciosa que posteriormente es utilizada de manera remota por el hacker.
Lo curioso de esto es que tras hacer estos pasos, el atacante no se centra en inculcar malwares ni generar sospechas, por lo que se especula que se preparan para una campaña masiva a largo plazo.
Considerando que no se puede eliminar con reinicios ni actualizaciones de firmware porque se almacena el proceso en la NVRAM, el plan que tienen pensado hacer podría tratarse de una operación encubierta de otro país.
Por ejemplo, como tener una “red distribuida con equipos que funcionen como puertas traseras” para adentrarse cada vez que sea necesario sin que haya alertas de por medio. Esto también les permite crear una botnet o incluso generar un espacio avanzado donde los hackers profesionales puedan trabajar para extraer información, similar a lo que se hace con las APT y ORB.
Según lo que explican los expertos involucrados, es tan potente que solo lograron identificar 30 solicitudes sospechosas en tres meses, clasificándolo como un ataque prácticamente “invisible” a simple vista.
¿Qué hacer para sobrevivir a esta vulnerabilidad de enrutador?
ASUS ha actuado a tiempo para detener la vulnerabilidad con un parche especial en CVE-2023-39780 en las versiones 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 y 3.0.0.6_102. Por lo tanto, solo hay que actualizar el firmware a la más reciente, donde no se encuentran los CVE asignados que podrían generar peligros silenciosos como el mencionado.
La compañía también ha confirmado que los enrutadores que se encuentran infectados, los cambios en SSH no se pueden eliminar tan fácil con actualizaciones de firmware, pero sí es posible revisar el acceso a esta configuración TCP/53282 y hacer una limpieza directa para después aplicar la nueva versión con el parche que corrige el problema.
Al mismo tiempo, es de suma importancia que se compruebe el archivo “authorised_keys” y bloquear las direcciones IP 101.99.91.151, 101.99.94.173, 79.141.163.179 y 111.90.146.237, ya que de aquí provienen la mayoría de las intervenciones externas.
En caso de que el estado sea crítico, entonces es necesario que se haga un restablecimiento de fábrica para volver a configurar y actualizar. Con esto, te podrás asegurar de que ningún intruso esté rondando por los dispositivos conectados a la red WiFi.