Pesquisadores de segurança da Qihoo 360 alertaram que a botnet BCMUPnP_Hunter infectou 100.000 roteadores nos últimos meses.
Para quem não sabe, botnets são redes de computadores infectados controladas por criminosos e usadas para envio de spam, roubo de informações, ataques de negação de serviço (DDoS) e outras atividades criminosas.
Botnet BCMUPnP_Hunter infecta 100.000 roteadores
Para infectar os roteadores a botnet BCMUPnP_Hunter, que foi identificada inicialmente em setembro de 2018, tirou proveito de uma vulnerabilidade no Broadcom UPnP SDK descoberta em 2013.
UPnP (Universal Plug and Play) é um conjunto de protocolos de rede que permite que dispositivos como computadores, impressoras, dispositivos IoT e outros se conectem entre si. Muitos dispositivos, principalmente roteadores, trazem o UPnP habilitado por padrão.
Exemplo de roteador com UPnP habilitado:
Em 2013, a vulnerabilidade no Broadcom UPnP SDK foi encontrada nos roteadores Cisco Linksys (agora Belkin) WRT54GL e uma correção foi disponibilizada.
O problema é que foi descoberto que a vulnerabilidade estava presente em milhares de outros roteadores baseados no chipset da Broadcom e fabricados por diversas outras empresas.
Cinco anos depois, a botnet BCMUPnP_Hunter está varrendo a internet em busca de interfaces UPnP expostas na porta 5431 e está usando a vulnerabilidade para tomar o controle dos roteadores vulneráveis.
De acordo com os pesquisadores, depois que a botnet toma o controle do roteador ela se conecta a diversos servidores de email conhecidos – como Yahoo! Mail. Isso é uma indicação de que o principal objetivo da botnet é o envio de spam.
Diferente de outras botnets atuando hoje, a BCMUPnP_Hunter não é baseada no código-fonte da botnet Mirai que vazou em 2016. Tudo indica que ela foi criada “do zero”. Ela também faz uso de um complexo mecanismo de infecção com múltiplos estágios.
Dos 100.000 roteadores infectados pela botnet, a grande maioria está localizada na Índia, China e nos Estados Unidos:
Os pesquisadores destacaram que a botnet BCMUPnP_Hunter procura por novas vítimas periodicamente (normalmente a cada três dias).
Até agora foram identificados 116 modelos de roteadores de diversas marcas – como CenturyLink, D-Link, iiNet, Linksys, NetComm, TP-Link, Technicolor, ZTE e ZyXEL – infectados pela botnet.
A recomendação é que os usuários mantenham seus roteadores sempre atualizados ou considerem desativar o UPnP completamente caso uma atualização de firmware não esteja disponível.
O post Botnet BCMUPnP_Hunter infecta 100.000 roteadores apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br