Nueva botnet ataca dispositivos con vulnerabilidades críticas
Los autores de una nueva botnet están apuntando a dispositivos afectados por vulnerabilidades de nivel crítico. Algunas de estas vulnerabilidades afectan a los dispositivos de seguridad de red.
Los ataques aún están activos y utilizan exploits disponibles públicamente, a veces solo unas pocas horas después de su publicación. Hasta ahora se ha aprovechado el código de explotación para al menos diez vulnerabilidades, y la última se agregó durante el fin de semana.
A mediados de febrero, los investigadores de seguridad de la Unidad 42 de Palo Alto Networks descubrieron ataques de esta botnet. Desde ese momento ellos comenzaron a rastrear su actividad.
El operador de la botnet tardó aproximadamente un mes en integrar exploits para diez vulnerabilidades, muchas de ellas críticas, para varios objetivos.
Entre ellos se encuentra VisualDoor, el exploit para una vulnerabilidad de inyección de comando remoto en dispositivos SonicWall SSL-VPN. Esto a pesar que el fabricante dice que la repararon hace años.
Hay exploits más recientes aprovechados en estos ataques, como CVE-2021-22502. Esta es una vulnerabilidad de ejecución de código remoto en el producto Micro Focus Operation Bridge Reporter (OBR) de Vertica.
OBR utiliza tecnología de big data para crear informes de rendimiento basados en datos de otro software empresarial.
Otras dos vulnerabilidades de gravedad crítica explotadas en los ataques del operador de esta botnet basada en Mirai son CVE-2021-27561 y CVE-2021-27562. Dichas vulnerabilidades afectan a Yealink Device Management.
Los investigadores de seguridad independientes Pierre Kim y Alexandre Torres informaron de las vulnerabilidades a través del programa SSD Secure Disclosure.
Las vulnerabilidades provienen de que los datos proporcionados por el usuario no se filtran correctamente. Es decir, estas permiten que un atacante no autenticado ejecute comandos arbitrarios en el servidor con permisos root.
Vulnerabilidades
Los investigadores de la Unidad 42 dicen que tres de las vulnerabilidades que explotan los atacantes aún no se han identificado. Esto porque los objetivos siguen siendo desconocidos. A continuación, te mostramos una lista de las vulnerabilidades aprovechadas en estos ataques:
| ID | Vulnerabilidad | Descripción | Gravedad |
| 1 | VisualDoor | Vulnerabilidad de inyección de comando remoto SSL-VPN de SonicWall | Severidad crítica |
| 2 | CVE-2020-25506 | Vulnerabilidad de ejecución remota de comandos del firewall D-Link DNS-320 | Gravedad crítica 9.8/10 |
| 3 | CVE-2021-27561 y CVE-2021-27562 | Vulnerabilidad de ejecución remota de código de nivel ‘root’ de autenticación de dispositivos Yealink | Severidad crítica |
| 4 | CVE-2021-22502 | Vulnerabilidad de ejecución remota de código en Micro Focus Operation Bridge Reporter (OBR), que afecta a la versión 10.40 | Gravedad crítica 9.8/10 |
| 5 | CVE-2019-19356 | Se asemeja a la vulnerabilidad de ejecución remota de código del enrutador inalámbrico Netis WF2419 | Severidad alta 7.5/10 |
| 6 | CVE-2020-26919 | Vulnerabilidad de ejecución remota de código no autenticada de Netgear ProSAFE Plus | Gravedad crítica 9,8/10 |
| 7 | No identificada | Vulnerabilidad de ejecución remota de comandos contra un objetivo desconocido | Desconocida |
| 8 | No identificada | Vulnerabilidad de ejecución remota de comandos contra un objetivo desconocido | Desconocida |
| 9 | Vulnerabilidad desconocida | Vulnerabilidad utilizada por Moobot en el pasado, aunque el objetivo exacto aún se desconoce | Desconocida |
Binarios
Después de infectar con éxito un dispositivo, el atacante descarga varios binarios. Estos binarios le permiten programar tareas, crear reglas de filtrado, ejecutar ataques de fuerza bruta o propagar el malware de la botnet. A continuación, algunos binarios utilizados:
- lolol.sh: descarga y ejecuta binarios “oscuros” específicos de la arquitectura. También programa una tarea para volver a ejecutar el script. Además, crea reglas de tráfico que bloquean las conexiones entrantes a través de puertos comunes para SSH, HTTP, telnet
- install.sh: instala el escáner de red ‘zmap’, descarga GoLang y los archivos para ejecutar ataques de fuerza bruta en las direcciones IP descubiertas por ‘zmap’
- nbrute.[arch]: binario para ataques de fuerza bruta
- combo.txt: un archivo de texto con credenciales para usar en ataques de fuerza bruta
- dark.[arch]: binario basado en Mirai utilizado para la propagación mediante exploits o fuerza bruta.
