Miles de routers ASUS están siendo infectados por una puerta trasera que permanece oculta, sobreviviendo a reinicios y actualizaciones de firmware

Nadie de nosotros quiere encontrarse en una situación donde los archivos y documentos importantes pueden llegar a ser robados por ciberatacantes. Debido a esto, intentamos ser lo más cautelosos posible a la hora de entrar a las páginas web y descargar archivos que no parecen fiables. A pesar de intentar evitar todo ese peligro y usar antivirus, no estamos totalmente protegidos, ni los que usan PC con Windows ni Linux ni Apple con macOS. Y es que, tanto el hardware como el software puede tener brechas de seguridad que aprovecharán los hackers y ciberatacantes. No es la primera vez que pasa y ahora miles de routers ASUS han sido infectados por una puerta trasera (backdoor) que está oculta y puede permanecer activa incluso después de actualizar el firmware.

Aunque un sistema de seguridad tenga varias capas de seguridad, en algún momento alguien encontrará un fallo o una zona más vulnerable a la que pueden atacar. Si logran hacer un trigger que levante de alguna forma el sistema de seguridad, entonces la persona atacante podría acabar teniendo control sobre el sistema. Hemos visto casos de este tipo donde los hackers de hacen con cuentas de administrador o logran tener una elevación de permisos para así tener poder y control sobre lo demás.

Descubren que los routers ASUS están expuestos a una puerta trasera que crear usando las vulnerabilidades parcheadas

Las vulnerabilidades ocurren en todo tipo de hardware y software, incluyendo PC, móviles o tablets. Lo importante es conseguir detectar la vulnerabilidad antes de que alguien haga un exploit para aprovechar la brecha de seguridad. En algunos casos se consigue y en otras ocasiones ya se ha empleado dicho exploit y llegan los parches con mitigaciones después. Para que te hagas una idea del alcance de estas vulnerabilidades, incluso los routers se ven afectados y pueden llegar a ser vulnerabilidades de alta gravedad.

Volvemos a hablar de routers ASUS, pues resulta que los atacantes están accediendo a miles de estos dispositivos a través de una puerta trasera que sobrevive a reinicios y actualizaciones. Una backdoor o puerta trasera es un sistema que permite evitar la seguridad para acceder a los aparatos y lo curioso es que se ha logrado aprovechando las vulnerabilidades previamente ya parcheadas, como las que hablamos en la noticia anterior.

Han detectado 9.000 routers ASUS víctimas de este ataque

Con esta puerta trasera, los atacantes pueden tener acceso a nivel de administrador, lo que les permite tener el control de estos dispositivos. Para ello emplearán una clave de cifrado pública que les permitirá acceder a ellos a través de SSH. Tras esto, cualquier que emplee una clave podrá acceder y ser administrador. A diferencia de otros ataques de puertas traseras, esta aguanta tras el reinicio del dispositivo.

De hecho, mencionan que ni siquiera una actualización de firmware del router de ASUS puede pararla. Además, el atacante puede permanecer oculto mientras no infecte con malware a las víctimas. Para poder acabar con esta backdoor, los usuarios infectados tendrán que eliminar la clave y la configuración del puerto. Para lograrlo, tendrán que comprobar la configuración SSH y ver si se puede a través del puerto 53282 donde aparecerá un certificado digital con la clave falsa. También podrán detectar si en los registros aparece que alguien ha accedido usando estas IP: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 o 111.90.146[.]237. La firma de seguridad GreyNoise ha detectado unos 9.000 routers de la marca ASUS que se han visto afectados por esta puerta trasera.

La entrada Miles de routers ASUS están siendo infectados por una puerta trasera que permanece oculta, sobreviviendo a reinicios y actualizaciones de firmware aparece primero en El Chapuzas Informático.