Investigadores de 360 detectaron grandes repuntes de trafico con cerca de 100.000 IPs únicas, procedentes de argentina. Tras la investigación, se ha determinado que provienen de una variante de Mirai.
En Enero de 2016 se publicó una vulnerabilidad que afectaba a los routers Zyxel PK5001Z. Esta vulnerabilidad, consistia en una contraseña oculta (hardcoded) de super usuario que permitia escalar a un usuario a root. Sin embargo, esta contraseña por si sola no sirve para nada ya que no se puede utilizar para logearnos en nuestro dispositivo.
Por otro lado, los malhechores han descubierto que hay una gran cantidad de dispositivos ZyXEL que tienen las credenciales telnet por defecto admin/CntryL1nk y admin/QwestModem. La prueba de conceptopublicada el mes pasado aprovechaba dichas credenciales para escalar a root usando la contraseña hardcodeada.
De las 100.000 IPs detectadas durante el ataque, aproximadamente 65.000 provienen de Argentina. Esto es signo de que el ISP, concretamente Telefonica de Argentina ha distribuido dispositivos ZyXEL a sus clientes con las credenciales por defecto incluidas en la prueba de concepto mencionada anteriormente.
Esto hace pensar que se trata de un enfoque de ataque en varios tipos específicos de dispositivos IoT, y ampliamente implementados en Argentina, tal como sucedió en el evento de Telekom (Alemania) del año pasado.
Si disponen de dicho modelo de router, y cuenta con las credenciales por defecto recomendamos reiniciar el dispositivo y modificar las credenciales por defecto para evitar futuras intrusiones.