EternalSilence: por qué tu router puede estar en riesgo a causa de esta herramienta de la NSA

El artículo de hoy es cortesía de John Mason, cofundador de TheBestVPN.com y articulista en TripwireStaySafeOnline, DigitalGuardian y Educause. Puedes encontrarlo en twitter como @JohnCyberMason.

¿Confías en tu router para mantenerte a salvo de hackers y espías? Puede que quieras echar otro vistazo sólo para asegurarte.

Akamai descubrió recientemente una campaña de malware que ya ha comprometido a más de 45 113 routers domésticos y corporativos. Para ello se utilizó una herramienta basada en las herramientas de hacking de la NSA que se filtraron en 2017. Para explicar cómo los hackers utilizan esta herramienta para convertir un router en un servidor proxy, primero tenemos que entender cómo funciona UPnP.

UPnP es un protocolo que facilita la detección de dispositivos y servicios, así como la configuración de dispositivos y redes de consumo. Su propósito principal era permitir que los dispositivos de una LAN expusieran automáticamente los servicios y la funcionalidad a otros dispositivos de la red local.

Un papel importante que desempeña es el de negociar y configurar automáticamente la apertura/envío de puertos dentro de un entorno de red “nateado”, lo que permite a los dispositivos de red abrir puertos y acelerar el enrutamiento del tráfico de red. Esta característica a menudo se implementa de forma predeterminada en los routers domésticos para mejorar el rendimiento y la experiencia del usuario cuando se juega en red.

El problema con UPnP es que algunas de sus implementaciones no manejaban segmentación de red a través de las interfaces de red WAN y LAN correctamente. En DEFCON 19, se presentó un conjunto de herramientas que permitía a los usuarios remotos inyectar reglas NAT en un dispositivo remoto a través de la interfaz WAN.

En 2013, Rapid 7 descubrió 80 millones de dispositivos vulnerables. Utilizaron la información filtrada por los dispositivos para identificar proveedores, modelos y el panorama general de amenazas. Esto les llevó a identificar miles de modelos de más de 1500 proveedores.

Entonces, ¿cómo funciona la inyección NAT?

Normalmente, los servicios privilegiados sólo pueden ser utilizados por dispositivos de confianza en una LAN. Sin embargo, los dispositivos vulnerables exponen estos servicios privilegiados en su interfaz WAN. Un atacante puede entonces utilizar estos servicios expuestos:

  • Para inyectar entradas NAT en el dispositivo remoto.
  • Para exponer máquinas detrás del enrutador.
  • Para inyectar hosts enrutables por Internet en la tabla NAT (lo que hace que el enrutador actúe como un servidor proxy).

En abril de este año, Akamai publicó un white paper detallando el proceso de cómo los hackers utilizan UPnP para convertir los routers en servidores proxy. Pero, recientemente descubrieron que los hackers tienen un nuevo método para instalar reglas especiales en las tablas NAT, que son las que deciden cómo se envía el tráfico desde el router a los dispositivos de la red. Estos hackers añaden una entrada a la tabla NAT llamada “Galleta Silenciosa“.

Las reglas siguen funcionando como redirecciones proxy, pero en lugar de simplemente retransmitir el tráfico web, ahora también permiten a los hackers conectarse a los puertos SMB (139, 445) de los dispositivos y equipos dentro de la red del router.

Akamai no pudo identificar exactamente el mecanismo, pero tienen serias sospechas de que las “inyecciones” están vinculadas a EternalBlue, una herramienta de hacking (malware) desarrollada por la NSA, que también se utilizó para las epidemias de WannaCry y NotPetya.

Esto es lo que llevó a Akamai a apodar esta campaña de hacking “EternalSilence”, a partir de EternalBlue y Silent Cookie — las entradas maliciosas en la tabla NAT.

La cuestión es que identificar si uno está afectado no es tarea fácil, aunque hay algunos pasos que se pueden seguir si sospechas que tu router es vulnerable a la infección NAT.

Si te conectas regularmente a Wi-Fi públicas, asegúrate de utilizar un servicio VPN para minimizar el riesgo, ya que esa red pública puede estar utilizando un router vulnerable.

Según el informe de Akamai, hay una forma de escanear el endpoint y auditar las entradas de su tabla NAT, pero esto implica un conocimiento técnico avanzado.

Podrías flashear tu router y deshabilitar UPnP, pero Akamai dice que esto sólo servirá para mitigar el problema, por lo que la mejor solución sugerida es simplemente reemplazar tu router vulnerable si encuentras su marca en la lista proporcionada en el informe.

Ver también en: