\n<\/strong><\/span>
\nDe forma demasiada, os dispositivos de equipamentos de rede s\u00e3o esquecidos, pois uma vez que s\u00e3o instalados e configurados, a maioria dos usu\u00e1rios ou empresas n\u00e3o se preocupa mais em aplicar as devidas atualiza\u00e7\u00f5es de firmware que s\u00e3o fornecidas pelos seus fabricantes. Mesmo falhas que venham a ocorrer nos dispositivos mais simples podem afetar milhares de usu\u00e1rios, que s\u00e3o silenciosamente atacados e induzidos a instalar malware de maneira inadvertida, isso quando n\u00e3o s\u00e3o encaminhados para dom\u00ednios de\u00a0phishing<\/em>.<\/p>\n
Conforme os apontamentos feitos pela pesquisadora Marta Janus, os modems DSL s\u00e3o atacados por diferentes tipos de malware, geralmente baseados em Linux, ou em ataques que exploram falhas de Cross-Site Request Forgery (CSRF), erros de configura\u00e7\u00e3o UPnP e SNMP ou at\u00e9 mesmo um complexo “sistema” de drive-by\u00a0pharming<\/em>. Surpreendentemente, esse cen\u00e1rio n\u00e3o \u00e9 ignorado apenas por usu\u00e1rios de sistemas, mas tamb\u00e9m pela comunidade de seguran\u00e7a em si, que dispnesa pouqu\u00edssima aten\u00e7\u00e3o a esse tipo de situa\u00e7\u00e3o. \u00c9 bastante comum ver lembretes sobre a import\u00e2ncia da instala\u00e7\u00e3o de\u00a0patches\u00a0<\/em>de seguran\u00e7a para o sistema operacional,\u00a0mas poucos falam da necessidade de atualizar o firmware do modem DSL.<\/strong><\/p>\n Sem muito alarde, a vulnerabilidade acabou mostrando um problema em um modem espec\u00edfico que foi revelada em mar\u00e7o de 2011. Essa falha permitiu o acesso remoto a um modem DSL, e ningu\u00e9m sabe, exatamente, quando os cibercriminosos come\u00e7aram a explor\u00e1-lo de forma remota. A falha permite que um ataque Cross-Site Request Forgery (CSRF), seja realizado no painel de administra\u00e7\u00e3o do modem DSL, podendo capturar a senha definida no dispositivo e permitir que o invasor fa\u00e7a altera\u00e7\u00f5es, geralmente em servidores de DNS.<\/p>\n Entretanto, mesmo que o utilizador tenha uma senha de alta relev\u00e2ncia configurada no dispositivo, a falha permite que um atacante possa acessar o painel de controle, capturar a referida senha, acessar o dispositivo e fazer todas as altera\u00e7\u00f5es que bem entender.<\/p>\n Ao que tudo indica, esse problema n\u00e3o est\u00e1 relacionado com um determinado modelo ou fabricante, mas com o driver do chipset que executa as principais fun\u00e7\u00f5es do equipamento e \u00e9 comprado por fabricantes de modem que o utilizam em produtos de consumo. Todos os dispositivos afetados tem em comum, um chipset Broadcom, que \u00e9 utilizado por muitos fabricantes, incluindo modems aprovados pela Ag\u00eancia Nacional de Telecomunica\u00e7\u00f5es do governo brasileiro, e s\u00e3o vendidos no Brasil.<\/p>\n De forma curiosa, nem todos os dispositivos que utilizam chips da Broadcom apresentam esse problema, mas n\u00e3o h\u00e1 dados precisos sobre quais as vers\u00f5es e equipamentos s\u00e3o afetados. Isto depende muito das informa\u00e7\u00f5es prestadas pelos pr\u00f3prios fabricantes.<\/p>\n Scripts Maliciosos Envolvidos no Ataque Por incr\u00edvel que pare\u00e7a, o ataque foi bastante simples. Os cibercriminosos fizeram uma varredura na Internet em busca de modems que estivessem expostos na rede; eles usaram dois\u00a0bash scripts<\/em>\u00a0que foram executados em um servidor dedicado, comprado exclusivamente para essa finalidade maliciosa. Na sequ\u00eancia, uma gama de IPs foi definida para scanning e para testes atrav\u00e9s do script. Sendo assim, cada vez que modem foi encontrado, uma tentativa de explorar a falha foi realizada.<\/p>\n Uma vez acessado, outro script chamado “roda.sh” iria ser executado e acessar o modem. A vulnerabilidade em quest\u00e3o, revela a senha de administra\u00e7\u00e3o do modem. Capturando esta senha, o script consegue acessar o painel de administra\u00e7\u00e3o do modem, alterar a configura\u00e7\u00e3o do Sistema de Nomes de Dom\u00ednio (DNS) e altera a senha, impedindo o propriet\u00e1rio do dispositivo de modific\u00e1-la posteriormente.<\/p>\n No entanto, estes testes apenas verificam a funcionalidade do dispositivo e n\u00e3o fazem qualquer esfor\u00e7o extra para avaliar as medidas de seguran\u00e7a. Isso permite que os ISPs locais ofere\u00e7am, de prefer\u00eancia, modems DSL (tipicamente mais velhos, modelos mais baratos e com firmware vulner\u00e1ve); vale lembrar que os ataques foram registrados em todos os grandes provedores de internet brasileiros. Em m\u00e9dia, um grande provedor de acesso tem 3 ou 4 milh\u00f5es de clientes, e sabe-se que alguns provedores registraram que cerca de 50% dos seus usu\u00e1rios foram v\u00edtimas desses ataques.<\/p>\n Essa neglig\u00eancia dos fabricantes aliada \u00e0 neglig\u00eancia dos ISPs e \u00e0 ignor\u00e2ncia de \u00f3rg\u00e3os oficiais do governo, cria um cen\u00e1rio que favorece os cibercriminosos, permitindo que os mesmos possam atacar \u00e0 vontade.<\/p>\n <\/p>\n Atividades Maliciosas de 40 Servidores DNS Desta forma, os atacantes poderiam controlar o tr\u00e1fego e manter o crit\u00e9rio do ataque sem levantar suspeitas. Uma vez configurado nos dispositivos, o servidor DNS malicioso dirigiria as v\u00edtimas para servidores que executam BIND com os tipos de entrada “SOA” e “A”, onde v\u00e1rios dom\u00ednios de execu\u00e7\u00e3o de p\u00e1ginas falsas referentes a bancos brasileiros foram hospedados. Ainda nessa sequ\u00eancia de a\u00e7\u00f5es nefastas, outros cibercriminosos aproveitaram os redirecionamentos para instalar malware nas m\u00e1quinas das v\u00edtimas.<\/p>\n No \u00faltimo m\u00eas de mar\u00e7o, o CERT Brasil informou que os ataques tinham comprometido cerca de 4,5 milh\u00f5es de modems. Esta situa\u00e7\u00e3o levou os bancos, provedores de Internet, fabricantes de hardware e ag\u00eancias governamentais se reunissem para discutir uma solu\u00e7\u00e3o para o problema. Por\u00e9m, n\u00e3o foi o suficiente simplesmente relatar o abuso de servidores DNS maliciosos, que foram usados no ataque que resultou em milhares de usu\u00e1rios afetados por dispositivos comprometidos; foi necess\u00e1rio ir mais longe, exigindo dos centros de suporte t\u00e9cnico de atendimento das empresas envolvidas uma solu\u00e7\u00e3o para aquele imenso problema.<\/p>\n Alguns fabricantes, a partir de ent\u00e3o, come\u00e7aram a fornecer atualiza\u00e7\u00f5es de firmware do modem, atualiza\u00e7\u00f5es estas que corrigiam o problema – especialmente relacionadas aos modelos mais populares. Dessa maneira, os usu\u00e1rios come\u00e7aram a reclamar com ISPs pedindo uma atualiza\u00e7\u00e3o de firmware, enquanto os bancos ficavam expostos aos servidores DNS maliciosos. Apesar de tudo isso, at\u00e9 o m\u00eas de mar\u00e7o deste ano, a CERT Brasil registrou um total de 300 mil modems ainda comprometidos por invasores.<\/p>\n A finalidade maior dos atacantes, como sempre \u00e9 uma caracter\u00edstica das pr\u00e1ticas de cibercrime no Brasil, foi roubar dados banc\u00e1rios das v\u00edtimas. Eles sempre far\u00e3o de tudo para alcan\u00e7ar este objetivo, direcionando as v\u00edtimas para p\u00e1ginas banc\u00e1rias falsas ou promover a instala\u00e7\u00e3o de malware atrav\u00e9s da cria\u00e7\u00e3o de c\u00f3pias de sites populares como o Google, Facebook e Orkut.<\/p>\n <\/p>\n Considera\u00e7\u00f5es Finais Quais medias os usu\u00e1rios podem tomar para n\u00e3o se tornarem v\u00edtimas desse tipo de ataque? Como Marta aconselhou em seu artigo, eles devem garantir a uutiliza\u00e7\u00e3o de senhas fortes, verificar suas configura\u00e7\u00f5es de seguran\u00e7a e atualizar seu firmware e qualquer software relevante, sempre de maneira regular. No momento, estas s\u00e3o as \u00fanicas coisas que podem realmente ser feitas. Quaisquer outros procedimentos s\u00e3o de total responsabilidade dos fabricantes, pois eles tem autonomia para alterar os projetos dos dispositivos.<\/p>\n <\/p>\n Links de Interesse:![\"\"](\"http:\/\/under-linux.org\/attachments\/cms\/39552d1349305795-image1.png\")
<\/a>
\nPublica\u00e7\u00e3o de exploit, datada de mar\u00e7o do ano de 2011, a partir de exploit-db.com<\/em><\/em><\/div>\n
\n<\/strong><\/span><\/p>\n<\/a>
\nA imagem acima mostra o script utilizado nos ataques<\/em><\/em><\/div>\n<\/a><\/div>\n
\n<\/strong><\/span>
\nPara realizar o ataque, os cibercriminosos no Brasil registraram cerca de 40 servidores DNS maliciosos em diferentes servi\u00e7os de hospedagem. Quase todos eles estavam localizados fora do Brasil. Nesse contexto de falhas e favorecimento \u00e0s atividades nefastas, foram registrados ataques nos quais apenas o servidor DNS prim\u00e1rio do dispositivo foi alterado, mantendo-se o servidor DNS secund\u00e1rio do ISP configurado ou usando o DNS p\u00fablico do Google; nessa situa\u00e7\u00e3o, o cibercriminoso ativou o DNS prim\u00e1rio por apenas alguns momentos a cada dia, em hor\u00e1rios espec\u00edficos.<\/p>\n
\nComprometimento de 4,5 Milh\u00f5es de Modems<\/strong><\/span><\/p>\n
\n<\/strong><\/span><\/p>\n
\n<\/strong><\/span>
\n–\u00a0Trend Labs Security Intelligence Blog<\/a>
\n–\u00a0The Tale of One Thousand Onde DSL Modems<\/a><\/p>\n<\/div>\n