GPON: de Korea con amor, vulnerabilidad y apatía corporativa

En tan solo 10 días de la divulgación de dos vulnerabilidades críticas en las redes ópticas GPON, se han encontrado al menos 5 familias de botnets que explotan las fallas para construir un ejército de millones de dispositivos.

Analizando el contexto que se presenta frente a esta exposición de la superficie de seguridad se han detectado 5 familias de botnets, incluidas Mettle, Muhstik, Mirai, Hajime y Satori, haciendo uso de la explotación de GPON en el campo.
El fabricante de router de redes ópticas pasivas (GPON) con capacidad Gigabit de DASAN Zhone Solutions con sede en Corea del Sur se ha encontrado vulnerable a un bypass de autenticación (CVE-2018-10561) y un RCE raíz (CVE-2018 -10562) fallas que eventualmente permiten a los atacantes remotos tomar el control total del dispositivo.

 Poco después de que se conocieron los detalles de las vulnerabilidades se advirtió sobre la amenaza de ciertos actores que explotan estos fallos para secuestrar y agregar nuevos routers vulnerables a sus redes de botnets.

Hasta donde sé, estas 5 familias de botnets mencionadas más abajo, explotan activamente estos problemas:

Mettle Botnet – El panel de comando y control y el escáner de este botnet se encuentran en un servidor que reside en Vietnam. Los atacantes han estado utilizando un módulo de ataque Mettle de fuente abierta para implantar malware en routers vulnerables.

Muhstik Botnet esta botnet se descubrió inicialmente la semana pasada cuando explotaba activamente una falla crítica de Drupal, y ahora la última versión de Muhstik se ha actualizado para explotar las vulnerabilidades de GPON, junto con fallas en el firmware de JBOSS y DD-WRT.

Mirai Botnet (nuevos sabores): GPON exploit también se ha integrado en algunas nuevas variantes (operadas por diferentes grupos de piratería) de la botnet Mirai IoT, que surgió por primera vez y fue abierta en 2016 después de que se usó para lanzar violentos ataques DDoS.

Hajime Botnet Otra botnet picante del mundo IoT, Hajime, también se ha encontrado agregando GPON y explotando a su código para atacar a cientos de miles de routers hogareños.

Satori Botnet la botnet que infectó 260,000 dispositivos en solo 12 horas el año pasado, también se ha observado que Satori (también conocido como Okiru) incluye GPON exploit en su última variante.

Si bien los investigadores que descubrieron las vulnerabilidades de GPON, ya informaron los problemas al fabricante del router, vemos con cada vez más naturalidad que la compañía aún no ha publicado ninguna solución para los problemas, ni los investigadores creen que se esté desarrollando ningún parche, dejando a millones de sus clientes abiertos a estos operadores de botnet.

Por Marcelo Lozano – General Publisher IT CONNECT