NETIS: backdoor que permite ataques MITM está super-ativa

 

Mais de dois anos atrás, os roteadores produzidos pela NETIS SYSTEMS, parte do Grupo Netcore, revelaram-se expostos por uma backdoor que proporcionaria ao atacante, controle completo sobre o dispositivo. O atacante só precisava saber o endereço IP externo do roteador e ter acesso a ele através da porta UDP 53413, após o qual eles poderiam acessar o backdoor, digitando uma senha codificada no firmware.

 

Com total controle sobre os dispositivos afetados, um invasor pode modificar as configurações para realizar ataque Man-in-the-Middle, além de outras atividades nefastas. 

 

Além do mais, a documentação anexada aos roteadores não mencionou nada sobre o backdoor e como ela poderia ser usada, disseram pesquisadores na época.

 

Agora, a Trend Micro diz que a backdoor continua a ser utilizada, com base em dados recolhidos por um dos seus filtros (TippingPoint Digital Vaccine/DV filtro de DV 32391), mostrando uma enorme quantidade de tentativas de comunicação.

 

"O que isto evidencia é uma campanha ativa de varredura em todo o mundo através do espaço IPv4, procurando roteadores acessíveis pela Internet que respondem à sonda backdoor. Dada a extensão desta campanha e o grande volume, para não mencionar a facilidade de exploração, é muito provável que um grande número desses roteadores estão sendo comprometida e usada para fins nefastos", explica o especialista da TrendMicro, Steve Povolny.

 

Isso nos remete a sempre-existente preocupação com documentos codificados por criptografia assimétrica: este tipo de backdoor possibilita ao atacante se infiltrar no meio de comunicações seguras (ataque conhecido como Man-in-the-Middle) e até obter as chaves privadas, se utilizando técnicas exploradas por malwares a partir desta "porta aberta".

 

Isso inclui certificados digitais e comunicações seguras (SSL/TLS). Ou seja, apesar da solução assimétrica ser teoricamente mais segura que a simétrica para a "troca de chaves", vemos que a possibilidade de ataque em sua maior vulnerabilidade é um fato e cada vez é mais bem explorado por atacantes de todos os níveis.

 

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016