Los investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.

Esta botnet se ha bautizado con el nombre de BCMUPnP_Hunter debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo «format string», por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso.

Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.

Petición SOAP para la función SetConnectionType

Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por «%», como por ejemplo: %s, %d, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato «%n»). Por ejemplo, si enviamos «%x,%x» como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.

Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware.

Fuente: Segu-info.com.ar

Compartir