Worms em roteadores e modems ADSL: Sinal dos tempos

Ainda hoje ouvimos profissionais dividindo segurança em plataformas de “software e hardware”, como se tal separação fosse possível o tempo todo em todos os casos.

Certamente é um indicador do verdadeiro problema: Controle sobre configurações, atualizações e incidentes, independente de parecer uma “caixa” ou parecer ser “apenas software”.

Recentes reports sobre worms infectando dispositivos como modems ADSL tem aparecido nos ultimos tempos, alem de outros reports ainda mais bizarros como ataques a BIOS.

Utilizando técnicas como o conhecimento de senhas padrão de fabricantes, exploits para vulnerabilidades conhecidas já corrigidas e em muitos casos sem a capacidade de infectar nenhum PC (somente os modems ou devices similares), esta tendência merece atenção

Tenho por costume acompanhar bem de perto os logs do meu firewall domestico de borda (ISA2006) e procuro alertar para coisas fora do comum.

Chamou-me a atenção a quantidade crescente de tráfego direcionada a porta do telnet (23), assim como tentativas de SNMP e SQL. Ao buscar incidentes semelhantes baseado nas portas e conteudo dos pacotes, fiquei bastante impressionado com a quantidade de incidentes similares ligados a diversas plataformas de cable modems e roteadores.

O que aprendemos com isso?

1) Que independente de sabermos ou não o software está presente em todos os lugares. Mais do que isso: Seja no nível do software, das pessoas ou do hardware, somente a contínua melhoria de processos e capacitação de pessoas permite identificar incidentes “invisíveis”

2) Que as ameaças são cada vez mais sofisticadas mas as medidas de proteção antigas e novas devem conviver. Patch management, senhas fracas, consistencia no processo de atualizacoes para todas as plataformas são medidas que transcendem uma ou outra plataforma e devem ser aplicados em portas, janelas e qualquer outra coisa.

3) Qualquer semelhança com que que apontamos ao falar do Conficker, Morris Worm ou tantos outros não é mera coincidencia.

PSYBOT:

Um bot para dispositivos MIPS: https://isc2.sans.org/diary.html?storyid=4175Not

https://www.adam.com.au/bogaurd/PSYB0T.pdf

Bot afeta modems e roteadores

https://blogs.zdnet.com/security/?p=2972

https://forums.techarena.in/networking-security/1147035.htm

Busybox: https://www.busybox.net/screenshot.html

 

Aylton Souza (Abu) é especialista de Indústria (Management / S+S) da Microsoft Brasil