Según los investigadores de la compañía de seguridad, los operadores de la botnet Mootbot empezaron a fines de febrero a explotar un error de día cero encontrado en nueve modelos diferentes de routers de fibra, tanto del mercado doméstico como para pymes. Este zero day es un error que permite la ejecución remota de código aprovechando un exploit, ya público (PoC). La parte «buena» es que para ser empleado con éxito, es decir, para comprometer la seguridad del dispositivo atacado, debe ser empleado de forma conjunta con una segunda vulnerabilidad.
Moobot es una nueva familia de botnets basada en la botnet Mirai, y cuya especialidad son los dispositivos IoT. La gran diferencia de esta botnet con respecto a otras que también se especializan en Internet de las Cosas, es que no se centra en buscar equipos y dispositivos que puedan tener contraseñas débiles o predeterminadas. En su lugar, se centra en aprovechar exploits de día cero, en ocasiones combinados entre sí. Esto, claro, hace sospechar que sus niveles de efectividad y peligrosidad sean más altos de los que plantean otras botnets de IoT.
¿Y por qué se ven afectados tantos dispositivos, y de distintos fabricantes? En realidad la explicación es bastante simple y la dan los investigadores que han revelado la información, «Es probable que la mayoría de los dispositivos afectados sean productos OEM, fabricados por la misma empresa«. Y este es un aspecto muy importante, ya que hablamos de una práctica muy común en el sector tecnológico. Por lo tanto, y en la medida de lo posible, es sobre esos grandes fabricantes sobre los que debe recaer la mayor responsabilidad a la hora de garantizar la seguridad de sus dispositivos.
Volviendo a Moobot, según afirma NetLab360 «El 17 de marzo, confirmamos que el exploit era un día cero e informamos el resultado a CNCERT. También contactamos al proveedor, pero nos dijeron que este problema no debería estar sucediendo porque la configuración predeterminada del dispositivo no debería tener este problema.» Una respuesta incorrecta, como se ha demostrado más tarde, puesto que solo un día después se publicó en ExploitDB la prueba de concepto que mencionaba anteriormente.
Según los investigadores, solo tuvo que pasar un día entre la publicación de la prueba de concepto para empezar a detectar ataques in the wild en los que se empleaba lo que se había documentado en la misma. Desde entonces y solo hasta finales de marzo ya se detectaron ataques mediante esta técnica dirigidos a intentar incrementar el volumen de sistemas tanto de Gafgyt como de Fbot. Esto, sin duda, es una señal evidente de que el exploit funciona y, aún peor, de que los operadores de botnets ya están haciendo uso del mismo de manera habitual.
Como recomendaciones de seguridad frente a Moobot, lo más recomendable es revisar la configuración del router. Más concretamente si cuentan con la última versión del firmware del dispositivo, y también si la configuración por defecto del mismo hay, como valores predeterminados, cuentas de acceso que deberían estar deshabilitadas pero se muestran activas. De ser así, lo más recomendable es restaurar la configuración original del dispositivo, actualizar su software si fuera necesario y deshabilitar todos los accesos al mismo que no sean necesarios, así como las cuentas configuradas por defecto en el sistema.
