El programari maliciós Vpnfilter ha infectat un milió d’encaminadors: aquí teniu el que heu de saber

Un descobriment recent que el nou malware basat en encaminadors, conegut com VPNFilter, havia infectat bé més de 500.000 routers només va esdevenir una notícia encara pitjor. En un informe que es preveu publicar el 13 de juny, Cisco afirma que més de 200.000 routers addicionals han estat infectats i que les capacitats de VPNFilter són molt pitjors del que es pensava inicialment. Ars Technica ha informat sobre què esperar de Cisco dimecres.

VPNFilter és un programari maliciós que s’instal·la en un encaminador Wi-Fi. Ja ha infectat gairebé un milió d’encaminadors a 54 països i la llista de dispositius que es coneix que estan afectats per VPNFilter conté molts models de consumidors populars. És important tenir en compte que VPNFilter no és una explotació d’encaminador que un atacant pot trobar i utilitzar per obtenir accés: és un programari que s’instal·la en un router sense voler que és capaç de fer algunes coses potencialment terribles.

VPNFilter és un programari maliciós que d’alguna manera s’instal·la al vostre encaminador, no una vulnerabilitat que els atacants poden utilitzar per accedir.

El primer atac de VPNFilter consisteix en utilitzar un home que té un atac intermedi per trànsit entrant. A continuació, intenta redirigir el trànsit xifrat HTTPS segur a una font que no és capaç d'acceptar-lo, cosa que fa que el trànsit torni a caure al trànsit HTTP normal i no xifrat. El programari que fa això, anomenat ssler per investigadors, preveu disposicions especials per a llocs que tinguin mesures addicionals per evitar que això passi com Twitter.com o qualsevol servei de Google.

Una vegada que el trànsit no està xifrat, VPNFilter podrà controlar tot el trànsit entrant i sortint que passa per un encaminador infectat. En lloc de recollir tot el trànsit i redirigir-lo a un servidor remot per ser vist més endavant, específicament s’orienta al trànsit que se sap que conté material sensible, com ara contrasenyes o dades bancàries. Les dades interceptades es poden enviar de nou a un servidor controlat per pirates informàtics amb vincles coneguts amb el govern rus.

VPNFilter també és capaç de canviar el trànsit entrant per falsificar respostes d'un servidor. Això ajuda a cobrir les pistes del programari maliciós i li permet funcionar més temps abans que pugueu dir que alguna cosa va malament. Un exemple de què és capaç de fer VPNFilter al trànsit entrant donat a ARS Technica per Craig Williams, un líder tecnològic sènior i responsable de divulgació global de Talos:

Però sembla que han evolucionat completament per davant, i ara no només els permet fer-ho, sinó que poden manipular tot el que passa pel dispositiu compromès. Poden modificar el saldo del vostre compte bancari de manera que sembli normal i, alhora, esborren diners i possiblement claus PGP i coses així. Poden manipular tot el que entra i surt del dispositiu.

És difícil o impossible (depenent del vostre joc d’habilitat i del model del router) saber si està infectat. Els investigadors suggereixen a qualsevol persona que utilitzi un encaminador conegut per ser susceptible de VPNFilter suposar que estan infectats i fer els passos necessaris per recuperar el control del seu trànsit de xarxa.

Els routers que són coneguts

Aquesta llarga llista conté els encaminadors dels consumidors que se sap susceptible de VPNFilter. Si el vostre model apareix en aquesta llista, us recomanem que seguiu els procediments de la secció següent d'aquest article. Els dispositius de la llista marcats com a "nous" són routers que recentment només es van trobar com a vulnerables.

Dispositius Asus:

• RT-AC66U (nou)
• RT-N10 (nou)
• RT-N10E (nou)
• RT-N10U (nou)
• RT-N56U (nou)

Dispositius D-Link:

• DES-1210-08P (nou)
• DIR-300 (nou)
• DIR-300A (nou)
• DSR-250N (nou)
• DSR-500N (nou)
• DSR-1000 (nou)
• DSR-1000N (nou)

Dispositius Huawei:

• HG8245 (nou)

Dispositius Linksys:

• E1200
• E2500
• E3000 (nou)
• E3200 (nou)
• E4200 (nou)
• RV082 (nou)
• WRVS4400N

Dispositius Mikrotik:

• CCR1009 (nou)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nou)
• CRS112 (nou)
• CRS125 (nou)
• RB411 (nou)
• RB450 (nou)
• RB750 (nou)
• RB911 (nou)
• RB921 (nou)
• RB941 (nou)
• RB951 (nou)
• RB952 (nou)
• RB960 (nou)
• RB962 (nou)
• RB1100 (nou)
• RB1200 (nou)
• RB2011 (nou)
• RB3011 (nou)
• RB Groove (nou)
• RB Omnitik (nou)
• STX5 (nou)

Dispositius Netgear:

• DG834 (nou)
• DGN1000 (nou)
• DGN2200
• DGN3500 (nou)
• FVS318N (nou)
• MBRN3000 (nou)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nou)
• WNR4000 (nou)
• WNDR3700 (nou)
• WNDR4000 (nou)
• WNDR4300 (nou)
• WNDR4300-TN (nou)
• UTM50 (nou)

Dispositius QNAP:

• TS251
• TS439 Pro
• Altres dispositius NAS QNAP que utilitzen programari QTS

Dispositius T-Link:

• R600VPN
• TL-WR741ND (nou)
• TL-WR841N (nou)

Dispositius Ubiquiti:

• NSM2 (nou)
• PBE M5 (nou)

Dispositius ZTE:

• ZXHN H108N (nou)

Què cal fer

Ara mateix, tan aviat com pugueu, heu de reiniciar el router. Per fer-ho, simplement, desconnecteu-lo de la font d’alimentació durant 30 segons, i connecteu-lo de nou. Molts models d’encaminador s’instal·len aplicacions quan s’encenen.

El següent pas és restablir el router de fàbrica. Trobareu informació sobre com fer-ho al manual inclòs a la caixa o al lloc web del fabricant. Normalment consisteix a inserir un passador en un forat empotrat per prémer un microinterruptor. Quan el router torni a funcionar, heu d'assegurar-vos que es troba a la versió més recent del firmware. Un cop més, consulteu la documentació que es proporciona amb el vostre enrutador per obtenir detalls sobre com actualitzar-lo.

A continuació, realitzeu una auditoria de seguretat ràpida de com utilitzeu el vostre enrutador.

• No utilitzeu mai el nom d’usuari i la contrasenya per defecte per administrar-lo. Tots els routers del mateix model utilitzaran aquest nom i contrasenya per defecte i permet una manera fàcil de modificar la configuració o instal·lar programari maliciós.
• No exposeu cap dispositiu intern a Internet sense tenir un tallafoc fort al seu lloc. Inclou aspectes com servidors FTP, servidors NAS, servidors Plex o qualsevol dispositiu intel·ligent. Si heu d’exposar qualsevol dispositiu connectat fora de la vostra xarxa interna, probablement podeu utilitzar programari de filtració i reenviament de ports. Si no, invertiu en un tallafoc de programari fort o de maquinari.
• Mai deixeu activada l’administració remota. Pot ser convenient si sovint estàs lluny de la xarxa, però és un punt d’atac potencial que tots els pirates informàtics saben buscar.
• Estigueu sempre al dia. Això significa que comproveu el firmware nou regularment i, el que és més important, assegureu-vos d’ instal·lar-lo si està disponible.

Finalment, si no podeu actualitzar el firmware per evitar que VPNFilter s’instal·li (el lloc web del vostre fabricant tindrà detalls) només en compreu. Sé que gastar diners per substituir un encaminador perfectament bo i funcionar és una mica extrem, però no tindreu ni idea de si el router està infectat a no ser que sigui una persona que no necessiti llegir aquest tipus de consells.

Ens encanten els nous sistemes de router de malla que es poden actualitzar automàticament sempre que estigui disponible un nou firmware, com Google Wifi, perquè coses com VPNFilter poden passar en qualsevol moment i a qualsevol. Val la pena fer una ullada si esteu al mercat d’un nou encaminador.