Foi descoberta recentemente uma ‘botnet’ que controla cerca de 100000 routers de vários fabricantes utilizados em casa e em pequenas empresas. A existência desta ‘botnet’ é possível devido a uma vulnerabilidade, que ainda não está resolvida, cinco anos depois de ter sido anunciada a sua existência.
A equipa da organização chinesa de segurança online Netlab 360, que anunciou a existência desta ‘botnet’ na semana passada, chamou ao malware BCMUPnP_Hunter. O nome refere-se à má implementação do protocolo UPnP nos chipsets da Broadcom que são utilizados nos dispositivos que estão vulneráveis. Já em 2013 foi publicado um aviso acerca da existência de uma falha crítica de segurança em routers de vários fabricantes, incluindo Broadcom, Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear e US Robotics.
O anúncio da existência desta ‘botnet’ sugere que muitos dos dispositivos que já estavam vulneráveis na altura continuaram a funcionar sem que problema fosse resolvido. Na publicação da Netlab 360, estão mencionados 116 tipos diferentes de dispositivos de vários fabricantes que estão a participar na ‘botnet’. Depois de estarem à mercê dos atacantes, os routers ligam-se uma quantidade de serviços de email. Isto indica que os dispositivos infectados estão a ser utilizados para o lançamento de campanhas de spam ou para o envio de malware através de email.
Universal Plug and Play
O protocolo UPnP, ou Universal Plug and Play, serve para facilitar a ligação de dispositivos a uma rede local porque permite que se descubram entre si facilmente. E é particularmente útil para facilitar a vida às pessoas que não têm conhecimentos para configurar um novo dispositivo na sua rede. No entanto, o protocolo UPnP também pode abrir buracos de segurança nas redes que o utilizam. Isto faz com que, em certos casos, estes bugs permitam que um dispositivo local responda a pedidos de comunicação feitos de fora da rede local. Por sua vez, isto permite a hackers assumirem o controlo desses dispositivos. As vulnerabilidades de segurança também podem permitir a atacantes ultrapassarem firewalls.
Depois de estarem infectados, os dispositivos servem de proxy a mais de uma dúzia de serviços de email, incluindo o Outlook, Hotmail e Yahoo Mail. Segundo a Netlab 360, a estrutura do malware revela que quem o escreveu tem conhecimentos profundos do funcionamento dos protocolos e dos chips envolvidos.
As pessoas que utilizem algum dos 116 modelos de routers que aparecem na lista publicada pela Netlab 360 devem verificar no site do fabricante se existe alguma actualização de firmware e actualizar os seus dispositivos. Se não existir, devem considerar a sua substituição. Ainda não há notícia de nenhum procedimento para a remoção deste malware.
Em qualquer caso é sempre aconselhável desligar a função UPnP no router porque o custo ultrapassa o beneficio.