Home Sociedad Delincuente informático filtra más de 500.000 credenciales de Telnet

Delincuente informático filtra más de 500.000 credenciales de Telnet

Como informó ZDNet, un delincuente informático, que parece ser un operador de servicios DDoS-for-hire (DDoS booter), ha publicado una lista masiva de 515.000 credenciales Telnet que consisten en contraseñas de servidores, enrutadores domésticos y dispositivos IoT (Internet of Things).

La lista publicada también incluye la dirección IP de cada dispositivo junto con un nombre de usuario y una contraseña de su servicio Telnet, que es un protocolo de acceso remoto que  puede utilizarse para controlar dispositivos a través de Internet.

El ciberdelincuente compiló la lista filtrada escaneando la Internet en busca de dispositivos que expusieran su puerto Telnet. Según se informa, utilizó dos métodos para encontrar las credenciales de los dispositivos y generar la lista.

Esta lista, que también se conoce como lista de botes, se prepara después de escanear Internet y se utiliza posteriormente para conectarse a dispositivos vulnerables e instalar diversos programas maliciosos.

El criminal también dijo a ZDNet que actualizó su servicio DDoS, que antes sólo funcionaba en redes de bots de IO, a un nuevo modelo que se basa en el alquiler de servidores de alto rendimiento de los proveedores de servicios en la nube. Todas las credenciales filtradas están fechadas entre octubre y noviembre de 2019.

Los expertos sugieren que algunos de estos dispositivos podrían tener ahora una dirección IP diferente, o que sus credenciales de acceso podrían ser cambiadas. Un actor de la amenaza puede utilizar las direcciones IP encontradas en la lista filtrada, determinar el nombre del proveedor de servicios y luego volver a explorar la red del ISP para actualizar la última lista de direcciones IP.

La seguridad de las contraseñas de los servidores y enrutadores ha sido durante mucho tiempo un problema de ciberseguridad. Anteriormente, la serie de routers Archer de TP-Link, que son capaces de manejar el tráfico online de alta velocidad, tenían una vulnerabilidad que, si se explotaba, podía permitir a los actores del mal, eludir las contraseñas de los administradores y tomar el control de los dispositivos de forma remota. Esta vulnerabilidad, rastreada como CVE-2019-7405, fue descubierta por primera vez en los routers TP-Link Archer C5 (v4).

Grzegorz Wypych, Consultor Senior de Seguridad de IBM X-Force Red, dijo: “Se trata de un fallo de día cero que no se había notificado anteriormente y que podría afectar tanto a los entornos domésticos como a los empresariales. Si se explotaba, esta vulnerabilidad del enrutador permitía a un atacante remoto tomar el control de la configuración del enrutador a través de Telnet en la red de área local (LAN) y conectarse a un servidor de protocolo de transferencia de archivos (FTP) a través de la LAN o la red de área amplia (WAN)”.

La vulnerabilidad podría explotarse simplemente enviando una cadena de caracteres más larga que el número de bytes permitido a través de una petición HTTP. Esto también se conoce como Desbordamiento de Contraseña. La validación incorporada comprueba las cabeceras HTTP del remitente; esto engaña a los routers TP-Link para que crean que es una petición HTTP válida, haciendo que la contraseña sea nula y reemplazándola por un valor vacío.

Con información de: ZDNet.