Enrutadores bajo ataque: cómo las empresas pueden proteger su puerta de acceso a Internet

Por Phil Muncaster • 12 November 2024

Los módems y los enrutadores no son las tecnologías conectadas más atractivas. De hecho, su ubicuidad significa que la mayoría de las organizaciones se olvidan de que están ahí. Sin embargo, también cumplen una función fundamental al permitir que los dispositivos y las máquinas en red se conecten a Internet. Sin ellos, la mayoría de las empresas tendrían dificultades para funcionar.

Sin embargo, debido a su ubicación en el borde de la red, los enrutadores también son un objetivo cada vez más popular. No ayuda que muchos estén plagados de vulnerabilidades y no se actualicen con tanta frecuencia como otros dispositivos críticos. Informe de Forescout publicado en octubre advierte sobre 14 nuevos fallos de firmware en los enrutadores DrayTek.

Es hora de tomar en serio la protección de los enrutadores corporativos.

¿Qué le pasa a DrayTek?

Según Forescout, dos de las 14 nuevas vulnerabilidades que descubrió en los enrutadores del fabricante taiwanés están calificadas como críticas: CVE-2024-41592 tiene una puntuación CVSS máxima de 10, mientras que CVE-2024-41585 recibe un 9.1.

El primero es un desbordamiento de búfer en la función GetCGI() de la interfaz de usuario web DrayTek VigorConnect. Aparentemente, podría ser activado por una cadena de consulta especialmente diseñada y excesivamente larga en cualquiera de las 40 páginas CGI de la interfaz de usuario web. Esto, a su vez, podría usarse para lograr la denegación de servicios o, si se combina con el error de inyección de comandos del sistema operativo CVE-2024-41585, para obtener acceso remoto a la raíz del sistema operativo host subyacente.

Esto es potencialmente mucho más serio, ya que proporcionaría a un atacante las "llaves del reino", lo que le permitiría tener control remoto completo del enrutador objetivo y, al moverse lateralmente, de otros dispositivos en la misma red, dice Forescout.

La popularidad de los enrutadores DrayTek a nivel mundial destaca los desafíos que enfrentan los defensores de la red y las oportunidades para los actores de amenazas. Según Forescout, más de 704,000 enrutadores estaban expuestos a Internet (y, por lo tanto, expuestos a la explotación) cuando se elaboró el informe, incluidos 425,000 en el Reino Unido y la UE. Al parecer, la mayoría están destinados a uso comercial.

DrayTek había solucionado todas las vulnerabilidades del firmware cuando se publicó el informe. Sin embargo, no hay garantía de que los clientes apliquen las actualizaciones antes de que se produzcan posibles intentos de explotación. El proveedor tampoco es, de ninguna manera, el único fabricante cuyos productos corren el riesgo de verse afectados. En septiembre, un grupo asesor conjunto Varias agencias de seguridad de Five Eyes revelaron la existencia de una enorme botnet de 260,000 dispositivos secuestrados, incluidos enrutadores de MikroTik, Ubiquiti, Telesquare, Telstra, Cisco y NetGear.

¿Por qué enrutadores?

Los módems y enrutadores son claramente un objetivo popular para los actores de amenazas. Esto se debe a que:

A menudo están plagados de vulnerabilidades sin parches que podrían ser explotadas.
A menudo los utilizan pymes con menos recursos y conocimientos de seguridad, lo que puede dejar los enrutadores expuestos.
Son fáciles de escanear de forma remota para los piratas informáticos.
Solo puede estar protegido con credenciales predeterminadas de fábrica
Proporcionar una puerta de enlace a otros dispositivos en la misma red y, por lo tanto, podría usarse como un vector de acceso inicial para ransomware y robo de datos.
Pueden ser secuestrados y utilizados como bots en una red de bots más grande para lanzar ataques DDoS contra otros o disfrazar campañas de amenazas más sofisticadas.
Podrían reutilizarse como servidores de comando y control (si son enrutadores de alto rendimiento)

Los dispositivos que han llegado al final de su vida útil (EoL) o al final de su venta (EoS) corren un riesgo especial, ya que es posible que el proveedor no disponga de parches o actualizaciones. Forescout afirma que 11 de los 24 modelos DrayTek afectados que figuran en su investigación estaban al final de su vida útil o al final de su vida útil. Incluso si se pueden aplicar parches, a menudo no se hace. Según Forescout, casi dos quintas partes (40 %) de los incluidos en el informe siguen siendo vulnerables a fallos similares identificados dos años antes.

“Los enrutadores pueden brindar acceso a los activos dentro de la red de una organización o incluso controlarlos. Como esqueletos de las redes y subredes que forman, son un gran recurso para que un atacante los infecte”, le dice Adam Brown, consultor de seguridad de Black Duck Software, a ISMS.online.

“Además, están administrados por individuos con los más altos niveles de credenciales de seguridad, que, si son vulneradas, otorgan a los malos actores las llaves del reino”.

No se trata de una amenaza teórica. Además de la enorme campaña de amenazas chinas que hemos destacado, podemos señalar lo siguiente:

Tifón Volt: Un grupo APT respaldado por el estado chino que explotó vulnerabilidades de día cero en dispositivos de red conectados a Internet, como enrutadores, para comprometer redes de infraestructura crítica de importancia estratégica en los EE. UU. El objetivo final, dice la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), era estar preparados y listos para lanzar ataques destructivos en caso de un conflicto militar.

Tecnología negra: Otro grupo estatal chino de APT que atacó a varias organizaciones en los EE. UU. y Japón. Atacó enrutadores mal protegidos en sucursales, lo que permitió a los atacantes mezclarse con el tráfico regular mientras cambiaban a otros dispositivos en las sedes corporativas. En algunos casos, los adversarios obtuvieron derechos de administrador, lo que les permitió reemplazar el firmware de los enrutadores o desactivar el registro para ocultar sus rastros.

Cyclops Blink y VPNFilter:Dos sofisticadas campañas de varios años del grupo ruso Sandworm, que tenían como blanco enrutadores de pequeñas oficinas y oficinas en el hogar (SOHO) y otros dispositivos de red. Implementación del malware homónimo fue descrito como “indiscriminado y generalizado”, lo que llevó a los observadores a especular que el propósito era crear botnets capaces de lanzar campañas de amenazas contra otros objetivos.

APT28/Oso elegante: Un prolífico grupo de amenazas ruso atacó los enrutadores EdgeRouters de Ubiquiti como parte de una campaña más amplia para “facilitar operaciones cibernéticas maliciosas en todo el mundo”, incluso mediante el alojamiento de páginas de phishing selectivo y herramientas de ataque personalizadas.

Cómo mitigar la amenaza

Algunos legisladores estadounidenses quieren investigar los enrutadores fabricados en China en un intento de mitigar la amenaza del ciberespionaje de Pekín. Pero esto no servirá para abordar el problema de los enrutadores fabricados en otros países que pueden ser pirateados mediante credenciales robadas o forzadas o mediante la explotación de vulnerabilidades. Entonces, ¿cómo pueden las organizaciones proteger mejor sus enrutadores? Algunas prácticas recomendadas pueden ayudar.

Un excelente lugar para comenzar es la higiene cibernética probada y comprobada, como:

Aplicación periódica de parches al firmware tan pronto como estén disponibles las actualizaciones, utilizando canales de actualización automáticos cuando sea posible
Reemplazar las contraseñas predeterminadas por credenciales seguras y únicas
Desactivar servicios y puertos no utilizados como UPnP, administración remota, uso compartido de archivos, etc.
Reemplazo rápido del kit EoL para garantizar la máxima protección contra la explotación.

Brown, de Black Duck Software, agrega que los enfoques de seguridad de Confianza Cero también ayudarían a las organizaciones a mitigar los riesgos de seguridad del enrutador, como el monitoreo de la red para detectar volúmenes de tráfico inusuales y la segmentación junto con políticas de acceso con privilegios mínimos.

“Al implementar redes y, por lo tanto, enrutadores, se debe tener en cuenta la arquitectura de seguridad, y se debe tener cuidado de garantizar que el acceso a las consolas de los enrutadores tenga los controles de seguridad adecuados”, agrega. “Se deben considerar las zonas de confianza de la red y un enfoque de confianza cero para la arquitectura en todas las capas ayudará a limitar el radio de explosión en caso de que ocurra un incidente”.

Como lo demuestran los ejemplos anteriores, poderosos grupos respaldados por estados y entidades sofisticadas dedicadas al cibercrimen están preparados para aprovechar las brechas de seguridad y secuestrar enrutadores y las redes que controlan. Con las PYMES en la mira, es hora de cerrar esta brecha de seguridad crítica.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster