1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2825/03/2009=29_Routers=2C_modems_y_botnets?

    From noticias@hispasec.com@2:341/201.99 to All on Wed Mar 25 16:20:02 2009
    ----------------------------SPOT--------------------------
    SERVICIOS ANTIFRAUDE (ANTIPHISHING y ANTITROYANOS)
    DE HISPASEC SISTEMAS

    Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
    antitroyanos, dirigidos a entidades bancarias y sitios de comercio
    electrónico.

    Más información en:
    http://www.hispasec.com/corporate/antiphishing.html

    info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 25/03/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Routers, modems y botnets
    -------------------------

    Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de
    denegación de servicio procedente de una botnet llamada 'psyb0t'. Nada
    nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de publicación de listas negras de IP en tiempo real, lo cual no es
    precisamente una manera de ganarse admiradores entre las filas de
    creadores de malware, spammers, etc. Lo interesante del asunto se
    lo encontraron cuando recabaron información sobre su atacante.

    El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores
    personales o servidores. El binario ni tan siquiera está compilado para
    la omnipresente arquitectura x86. Su foco de infección se encuentra en
    los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa
    un barrido por rangos de IP escaneando los puertos 22, 23 y el 80,
    buscando una vulnerabilidad que expone la administración remota del
    dispositivo a través de telnet, ssh e interfaz web inclusive con los
    permisos por defecto. Si la configuración ha sido modificada, lo
    intentará por fuerza bruta.

    Tras obtener una shell con permisos de administrador borra el archivo '/var/tmp/udhcpc.env' que pertenece al cliente DHCP y comprueba la
    existencia del comando wget para efectuar la descarga de una réplica
    del gusano con el mismo nombre y ruta que el archivo borrado. Tras
    ello inyecta reglas en iptables para cerrar la entrada en los puertos
    22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez
    infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el
    topic que contiene instrucciones para los bots.

    Aunque el primer contacto con esta botnet fue documentado por un tal
    Terry Baume en enero de este año, parece ser que este es el primer
    ataque a gran escala o el incidente que ha tenido mayor repercusión
    mediática hasta el momento. Varios son los factores que no pasaron por
    alto los creadores de 'psyb0t', un vector fácil, contraseñas por defecto
    y exposición de la administración remota, una presa descuidada, como un olvidado router con el que no se interactúa y se mantiene encendido las
    24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que
    monitorizaste el tráfico del router?

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3805/comentar

    Mas información:

    Blog de DroneBL
    http://dronebl.org/blog/8

    Your router, plausible home to a stealth rootkit? http://nenolod.net/~nenolod/router-malware.pdf

    PSYB0T 2.5L
    http://www.adam.com.au/bogaurd/PSYB0T.pdf


    David García
    dgarcia@hispasec.com


    Tal día como hoy:
    -----------------

    25/03/2008: Múltiples vulnerabilidades en Apple Safari
    http://www.hispasec.com/unaaldia/3440

    25/03/2007: Denegación de servicio y ejecución de código en CA ARCserve Backup
    http://www.hispasec.com/unaaldia/3074

    25/03/2006: Sitios webs explotan vulnerabilidad crítica de Internet Explorer
    http://www.hispasec.com/unaaldia/2709

    25/03/2005: Actualización de HP-UX Apache
    http://www.hispasec.com/unaaldia/2344

    25/03/2004: Desbordamiento de búfer en versiones no actualizadas de Python
    http://www.hispasec.com/unaaldia/1978

    25/03/2003: Nuevo resumen trimestral del CERT
    http://www.hispasec.com/unaaldia/1612

    25/03/2002: Gusano MyLife.B, bajo una caricatura de Bill Clinton
    http://www.hispasec.com/unaaldia/1247

    25/03/2001: Vulnerabilidad en Novell NetWare
    http://www.hispasec.com/unaaldia/882

    25/03/2000: Listado de directorios bajo Netscape Enterprise Server
    http://www.hispasec.com/unaaldia/515

    25/03/1999: Notes expone los mensajes e-mail cifrados
    http://www.hispasec.com/unaaldia/149


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)