No último domingo (27/11), cerca de 900 mil roteadores ficaram fora do ar na Alemanha depois de hackers terem atacado os equipamentos para integrá-los a uma botnet. Muitos alemães ficaram sem TV, telefone e internet.
O analista de malwares Pavel Šrámek, da Avast, explica como o ataque foi realizado. Segundo ele, o problema teve origem na implementação vulnerável do protocolo de gerenciamento CPE WAN (ou CWMP, também chamado TR-069). Ele conta que esse protocolo é usado por alguns provedores de internet, como a Deutsche Telekom, para gerenciar remotamente os roteadores de seus clientes quando precisam, por exemplo, ajustar as configurações do DNS (Domain Name Service) ou do Network Time Protocol (NTP).
Esse protocolo usa a porta TCP 7547, que é amplamente utilizada para isso em todo o mundo. De fato, com mais de 40 milhões de instâncias abertas, a porta TCP 7547 é a segunda mais aberta em toda a internet pública, já que a primeira é a porta TCP 80, usada para HTTP.
Segundo ele, no entanto, já que que muitos provedores de internet a deixam aberta, ela é livremente acessível e por isso pode ser abusada por parte de atacantes, para hackear roteadores nos quais o serviço CWMP está vulnerável. “O que é especialmente desagradável sobre isso é que os invasores podem fechar a porta depois de ter infectado o roteador com malware, para que o provedor de internet não possa mais acessar aquela porta para removê-lo remotamente”, comentou. Os hackers alemães aproveitaram a falha no processamento dos endereços de servidores NTP (servidores de horário) para atuar.
A vulnerabilidade permitiu a execução remota de código em muitos outros roteadores e está presente, por exemplo, em roteadores Speedport distribuídos pela Deutsche Telekom. “Muitos provedores de internet negligenciaram a atualização de seus dispositivos, deixando um verdadeiro paraíso para os cibercriminosos, já que por meio dessa vulnerabilidade podem atacar centenas de milhares de dispositivos ao mesmo tempo. Os autores da rede de bots Mirai, que anteriormente infectaram câmeras IP protegidas apenas pelas senhas-padrão, já começaram a abusar desta vulnerabilidade, e é possível que também estejam por trás do ataque aos clientes da Deutsche Telekom”, completou o especialista.
Ele destaque que isso pode ser apenas o começo do que poderá acontecer no futuro. O próximo passo para os invasores pode ser hackear outros dispositivos domésticos, como câmeras web, TVs inteligentes ou termostatos, uma vez que eles ganham acesso ao roteador.
