Alguns routers das marcas Zyxel e Speedport, entre outras, disponibilizados pela Deutsche Telekom e pela Eircom apresentam uma vulnerabilidade crítica e deixam uma porta aberta para comunicações com o exterior. A vulnerabilidade permite o envio de comandos nos protocolos TR-069 e TR-064 através da porta 7547. A equipa da SANS Internet Storm Center reporta que servidores honeypot preparados para ser cobaias receberam tentativas de ataque a cada cinco a dez minutos, noticia o ArsTechnica.
Esta poderá ser a principal causa que levou a que quase um milhão de clientes da Deutsche Telekom na Alemanha tenham ficado sem acesso à Internet no passado fim de semana.
Estimativas do motor de busca Shodan mostram que há 41 milhões de dispositivos conectados à Internet e que deixam a porta 7547 aberta, enquanto cerca de cinco milhões expõem serviços TR-064 ao exterior. Os utilizadores afetados podem ver os seus aparelhos juntarem-se a botnets criadas para lançar ataques de DDoS.
O ataque é feito com três ficheiros diferentes, de forma a conseguir infetar o maior número possível de routers, com dois a atacar modelos com chips MIPS e um a alvejar routers com chips ARM. Estes cibercriminosos, depois de atacar, fecham a porta 7547 para evitar que outros hackers interfiram e tomem controlo.
A BadCyber analisou o código malicioso e concluiu que alguém terá decidido criar um worm baseado no código Mirai, o malware usado para atacar dispositivos ligados à Internet das Coisas.
A solução por agora passa por reiniciar os aparelhos e fechar a porta, usando uma password forte ou, melhor ainda, desabilitando a administração remota.
Numa fase inicial estimou-se que mais de 900 mil utilizadores foram afetados durante o fim de semana, mas que esse número está bastante mais baixo agora. A operadora afirma que se trata de influências externas que estão a vedar o acesso dos clientes à rede.
Como os routers são usados para assegurar vários serviços, houve clientes que ficaram sem Net, sem telefone fixo e sem acesso à TV.
Os utilizadores são livres de escolher os seus routers, apesar de a operadora fornecer vários modelos. Os produtos Fritz!Box, diz a AVM, não estão afetados por esta vulnerabilidade.
Recorde-se que só este ano descobriram-se falhas nos routers de marcas reputadas como a Ubiquiti, Netgear e D-Link.