Algunos routers de Jazztel, susceptibles de quedarse sin Internet

Algunos routers de Jazztel, susceptibles de quedarse sin Internet

Alberto García

Hace dos semanas hablamos de que casi un millón de alemanes, todos clientes de Deutsche Telekom, se quedaron sin Internet debido a un fallo de seguridad en la administración remota de los routers mediante vulnerabilidades en los protocolos TR-069 y TR-064. Este fallo era aprovechado por el famoso botnet Mirai, cuya utilización fue la causante de la caída de DynDNS y los servicios que lo utilizaban, como Twitter o Spotify.

Después de afectar a casi un millón de usuarios en Alemania, los atacantes aprovecharon la vulnerabilidad y fueron a por 100.000 clientes del Reino Unido del operador Talk Talk, del servicio postal inglés, y de la cadena KCOM. Entre los routers afectados, tal y como comentamos hace dos semanas, se encuentran algunos de las marcas Zyxel, Speedport o D-Link.

Los ataques fueron perpetrados por dos hackers conocidos como BestBuy y Popopret. A raíz de los ataques, los operadores afectados en Alemania y Reino Unido lanzaron parches de seguridad para subsanar los fallos. Pero, ¿podría darse el mismo caso en España?

Miles de usuarios en España tienen esos routers

En España hay 16.000 routers con estas vulnerabilidades de las marcas citadas, y el operador que más ha proporcionado esos routers ha sido Jazztel, con casi 11.000 unidades en manos de sus clientes. Esta cantidad supone el 0,7% de sus clientes. Según hemos podido saber, Jazztel está actualmente investigando si los routers son accesibles a través de las citadas vulnerabilidades, y en el caso de que así sea, lanzarán una actualización para los routers.

botnet-jazztel-router

Hemos de recordar que el firewall de Jazztel sólo permite acceso a la WAN con el puerto 80 desde direcciones IP que pertenezcan al rango de IP de la administración de Jazztel, lo cual reduce prácticamente a cero la posibilidad de un ataque externo a través de un control ilegítimo de nuestro router con la vulnerabilidad de la administración remota.

De esta manera, en principio, el botnet Mirai no podría tomar el control remoto de los routers Zyxel y D-Link de Jazztel e instalarles firmwares modificados que redireccionen a páginas web con malware, o utilizarlos a placer para realizar ataques DDoS junto con otros millones de dispositivos que forman parte de las redes de botnets que se alquilan para bombardear y tirar páginas web. Entre estos dispositivos priman los del Internet de las Cosas, como cámaras de seguridad, cuya seguridad deja mucho que desear, y muchos utilizan contraseñas por defecto tan sencillas como ‘123456’ o ‘admin’.

El botnet Mirai ha ganado popularidad en los últimos tres meses tras la publicación el 30 de octubre del código del botnet, pudiendo éste ser aprovechado por cualquiera para fines maliciosos, tal y como hemos podido ver con el ataque a DynDNS o a los operadores alemanes y británicos.

¡Sé el primero en comentar!