Un ataque generalizado a las interfaces de mantenimiento de los routers de Deutsche Telekom dejó el pasado fin de semana a 900.000 usuarios alemanes sin acceso a Internet. En un principio no se sabían los motivos de la caída, pero un informe publicado por la Oficina Federal Alemana de Seguridad de la Información (BSI) ha confirmado que se trató de un intento de añadirlos a una botnet.
Según las últimas investigaciones, publicadas por The Register, la responsable sería una versión modificada de la botnet Mirai. Para quien no lo recuerde, esta botnet es la misma que el pasado octubre fue utilizada en el ataque DDoS a Dyn, que tumbó masivamente a grandes portales como Twitter, Spotify o GitHub.
Los routers afectados, la mayoría de ellos fabricados por Zyxel y Speedport, tenían el puerto 7547 abierto, algo que suelen utilizar los proveedores para el mantenimiento remoto en caso de haber problemas. Según el SANS Internet Storm Center, el primero en informar sobre las causas del suceso, los dispositivos afectados estuvieron recibiendo nuevas órdenes de acceso cada cinco minutos.
Todo parece indicar que la versión de Mirai atacó esta interfaz de mantenimiento para tratar de adherir los 900.000 routers a una botnet, y aunque falló en su intento, en su búsqueda de vulnerabilidades provocó caídas y restricciones que los dejaron inoperativos.
Y esto podría ser sólo el principio según el investigador de seguridad Kenn White, que ha advertido en Twitter que 41 millones de routers en todo el mundo podrían tener estos puertos de mantenimiento abiertos. Eso quiere decir, teniendo en cuenta que ya se está intentando vulnerar la seguridad de ese puerto, que todos ellos son potenciales víctimas que podrían pasar a formar parte de una botnet sin darse cuenta.