🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Nueva botnet ataca dispositivos con vulnerabilidades críticas

Los autores de una nueva botnet están apuntando a dispositivos afectados por vulnerabilidades de nivel crítico. Algunas de estas vulnerabilidades afectan a los dispositivos de seguridad de red.

Los ataques aún están activos y utilizan exploits disponibles públicamente, a veces solo unas pocas horas después de su publicación. Hasta ahora se ha aprovechado el código de explotación para al menos diez vulnerabilidades, y la última se agregó durante el fin de semana.

A mediados de febrero, los investigadores de seguridad de la Unidad 42 de Palo Alto Networks descubrieron ataques de esta botnet. Desde ese momento ellos comenzaron a rastrear su actividad.

El operador de la botnet tardó aproximadamente un mes en integrar exploits para diez vulnerabilidades, muchas de ellas críticas, para varios objetivos.

Entre ellos se encuentra VisualDoor, el exploit para una vulnerabilidad de inyección de comando remoto en dispositivos SonicWall SSL-VPN. Esto a pesar que el fabricante dice que la repararon hace años.

Hay exploits más recientes aprovechados en estos ataques, como CVE-2021-22502. Esta es una vulnerabilidad de ejecución de código remoto en el producto Micro Focus Operation Bridge Reporter (OBR) de Vertica.

OBR utiliza tecnología de big data para crear informes de rendimiento basados ​​en datos de otro software empresarial.

Otras dos vulnerabilidades de gravedad crítica explotadas en los ataques del operador de esta botnet basada en Mirai son CVE-2021-27561 y CVE-2021-27562. Dichas vulnerabilidades afectan a Yealink Device Management.

Los investigadores de seguridad independientes Pierre Kim y Alexandre Torres informaron de las vulnerabilidades a través del programa SSD Secure Disclosure.

Las vulnerabilidades provienen de que los datos proporcionados por el usuario no se filtran correctamente. Es decir, estas permiten que un atacante no autenticado ejecute comandos arbitrarios en el servidor con permisos root.

Vulnerabilidades

Los investigadores de la Unidad 42 dicen que tres de las vulnerabilidades que explotan los atacantes aún no se han identificado. Esto porque los objetivos siguen siendo desconocidos. A continuación, te mostramos una lista de las vulnerabilidades aprovechadas en estos ataques:

IDVulnerabilidadDescripciónGravedad
1VisualDoorVulnerabilidad de inyección de comando remoto SSL-VPN de SonicWallSeveridad crítica
2CVE-2020-25506Vulnerabilidad de ejecución remota de comandos del firewall D-Link DNS-320Gravedad crítica 9.8/10
3CVE-2021-27561 y CVE-2021-27562Vulnerabilidad de ejecución remota de código de nivel ‘root’ de autenticación de dispositivos YealinkSeveridad crítica
4CVE-2021-22502Vulnerabilidad de ejecución remota de código en Micro Focus Operation Bridge Reporter (OBR), que afecta a la versión 10.40Gravedad crítica 9.8/10
5CVE-2019-19356Se asemeja a la vulnerabilidad de ejecución remota de código del enrutador inalámbrico Netis WF2419Severidad alta 7.5/10
6CVE-2020-26919Vulnerabilidad de ejecución remota de código no autenticada de Netgear ProSAFE PlusGravedad crítica 9,8/10
7No identificadaVulnerabilidad de ejecución remota de comandos contra un objetivo desconocidoDesconocida
8No identificadaVulnerabilidad de ejecución remota de comandos contra un objetivo desconocidoDesconocida
9Vulnerabilidad desconocidaVulnerabilidad utilizada por Moobot en el pasado, aunque el objetivo exacto aún se desconoceDesconocida

Binarios

Después de infectar con éxito un dispositivo, el atacante descarga varios binarios. Estos binarios le permiten programar tareas, crear reglas de filtrado, ejecutar ataques de fuerza bruta o propagar el malware de la botnet. A continuación, algunos binarios utilizados:

  • lolol.sh: descarga y ejecuta binarios “oscuros” específicos de la arquitectura. También programa una tarea para volver a ejecutar el script. Además, crea reglas de tráfico que bloquean las conexiones entrantes a través de puertos comunes para SSH, HTTP, telnet
  • install.sh: instala el escáner de red ‘zmap’, descarga GoLang y los archivos para ejecutar ataques de fuerza bruta en las direcciones IP descubiertas por ‘zmap’
  • nbrute.[arch]: binario para ataques de fuerza bruta
  • combo.txt: un archivo de texto con credenciales para usar en ataques de fuerza bruta
  • dark.[arch]: binario basado en Mirai utilizado para la propagación mediante exploits o fuerza bruta.
Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información