VPNFILTER es peor de lo que se creía: puede saltarse HTTPS, y hay 60 routers afectados más

‌‌‌
Hace dos semanas recogíamos una información bastante peliaguda. Rusia, al parecer, había diseñado VPNFilter, un malware capaz de colarse en decenas de modelos de routers en todo el mundo aprovechándose de una vulnerabilidad no parcheada. Aunque afectó principalmente a Rusia, la presencia del malware VPNFilter fue detectada en 54 países de todo el mundo. Ahora han surgido más datos sobre él, y es más peligroso de lo que creíamos.

VPNFilter también puede saltarse HTTPS
Los hackers, que según el FBI trabajan para Rusia, habían infectado 500.000 routers en todo el mundo antes de que el FBI tomara el control del servidor que controlaba la red de dispositivos infectados, la cual podía usarse para crear un ataque DDoS masivo. La subdivisión Talos, de Cisco, dice que el malware puede realizar ataques de man-in-the-middle en trafico web entrante. Así, pueden inyectar contenido malicioso junto con el tráfico que pasa por el router infectado, modificando el contenido de las webs que vemos.

Este módulo de inyección, llamado “ssler”, está diseñado también para extraer información sensible entre los dispositivos conectados al router y la red. Para ello, analiza las URL de las páginas para detectar señales que indiquen que se está transmitiendo una contraseña o cualquier otra información sensible, y las envía a servidores que el atacante todavía tiene bajo su control a pesar de que hayan pasado dos semanas desde que fue publicada la existencia de este malware.

Sin embargo, lo más peligroso que hace el malware es saltarse el cifrado TLS, degradando las conexiones HTTPS a HTTP para poder leerlas en texto plano. Así, cambian las cabeceras para hacer creer que el dispositivo final no soporta conexiones cifradas. Además, tiene un comportamiento determinado con tráfico que va hacia Google, Facebook, Twitter o YouTube, probablemente debido a que usan funcionalidades de seguridad adicionales. Google, por ejemplo, lleva años redirigiendo el tráfico HTTP a sus servidores HTTPS.

Con esto, los atacantes pueden hacer cosas como modificar el número que ves en el balance de tu cuenta corriente y que todo se vea correcto, pero en realidad estén vaciando tu cuenta. Tienen control total sobre tu ordenador.

Hay 60 modelos más de routers afectados por VPNFilter

ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
Huawei: HG8245
Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
TP-Link: R600VPN, TL-WR741ND, TL-WR841N
Ubiquiti: NSM2, PBE M5
Upvel: modelos desconocidos
ZTE: ZXHN H108N

Ver información original al respecto en Fuente: