La nueva botnet apunta a dispositivos de seguridad de red con exploits críticos
Los autores de una nueva botnet apuntan a los dispositivos conectados afectados por vulnerabilidades críticas, algunas de las cuales afectan a los dispositivos de seguridad de la red.
Los ataques aún están activos y utilizan exploits disponibles públicamente, a veces solo unas horas después de la publicación. Hasta ahora, el código de explotación ha sido explotado para al menos diez vulnerabilidades, la última se agregó durante el fin de semana.
Aprovecha los errores antiguos y recientes
Los dispositivos comprometidos con éxito terminan con una variante del malware de botnet Mirai específico para la arquitectura del dispositivo.
A mediados de febrero, los investigadores de seguridad de la Unidad 42 de Palo Alto Networks descubrieron los ataques de esta botnet y comenzaron a monitorear su actividad.
El operador de la botnet tardó alrededor de un mes en integrar exploits para diez vulnerabilidades, muchas de ellas críticas, para varios objetivos.
Entre ellos hay VisualDoor, el exploit para una vulnerabilidad de inyección de comando remoto en dispositivos SonicWall SSL-VPN que el dice el fabricante lo resolvieron hace años.
Hay exploits más recientes explotados en estos ataques, como CVE-2021-22502, un error de ejecución de código remoto en el producto Micro Focus Operation Bridge Reporter (OBR) de Vertica.
OBR utiliza la tecnología Big Data para crear informes de rendimiento basados en datos de otro software empresarial.
Otras dos vulnerabilidades de gravedad crítica explotadas en los ataques de los operadores de esta botnet basada en Mirai son CVE-2021-27561 y CVE-2021-27562 que afectan Gestión de dispositivos Yealink.
Los defectos fueron informados a través del programa SSD Secure Disclosure por los investigadores de seguridad independientes Pierre Kim y Alexandre Torres. El análisis técnico está disponible Aquí.
Surgen del hecho de que los datos proporcionados por el usuario no se filtran correctamente y permiten que un atacante no autenticado ejecute comandos arbitrarios en el servidor con permiso de root.
Unidad 42 los investigadores dicen Se desconoce que tres de las vulnerabilidades explotadas por los atacantes aún no se han identificado como objetivos. A continuación se muestra una lista de las fallas explotadas en estos ataques:
| IDENTIFICACIÓN | Vulnerabilidad | Descripción | Gravedad |
| 1 | VisualDoor | Vulnerabilidad de inyección de comando remoto SSL-VPN de SonicWall | gravedad crítica |
| 2 | CVE-2020-25506 | Vulnerabilidad de ejecución remota de comandos del cortafuegos D-Link DNS-320 | gravedad crítica, 9,8 / 10 |
| 3 | CVE-2021-27561 y CVE-2021-27562 | Vulnerabilidad de ejecución remota de código de Yealink Device Management | gravedad crítica |
| 4 | CVE-2021-22502 | Vulnerabilidad de ejecución remota de código en Micro Focus Operation Bridge Reporter (OBR), que afecta a la versión 10.40 | gravedad crítica, 9,8 / 10 |
| 5 | CVE-2019-19356 | Se parece a la vulnerabilidad de ejecución remota de código del enrutador inalámbrico Netis WF2419 | alta severidad, 7.5 / 10 |
| 6 | CVE-2020-26919 | Vulnerabilidad de ejecución remota de código no autenticado Netgear ProSAFE Plus | gravedad crítica, 9,8 / 10 |
| 7 | No identificado | Vulnerabilidad de ejecución remota de comandos contra un objetivo desconocido | Desconocido |
| 8 | No identificado | Vulnerabilidad de ejecución remota de comandos contra un objetivo desconocido | Desconocido |
| 9 | Vulnerabilidad desconocida | Vulnerabilidad utilizada por Moobot en el pasado, aunque aún se desconoce el objetivo exacto | Desconocido |
Después de comprender con éxito un dispositivo, el atacante lanzó varios archivos binarios que le permiten programar trabajos, crear reglas de filtrado, realizar ataques de fuerza bruta o propagar malware de botnet:
- lolol.sh: Descarga y ejecuta binarios "oscuros" específicos de la arquitectura; también programe un trabajo para volver a ejecutar el script y crear reglas de tráfico que bloqueen las conexiones entrantes en puertos comunes para SSH, HTTP, telnet
- install.sh: instale el escáner de red "zmap", descargue GoLang y archivos para realizar ataques de fuerza bruta en las direcciones IP descubiertas por "zmap"
- nbrute.[arch]: binario para ataques de fuerza bruta
- combo.txt- Un archivo de texto con credenciales para usar en ataques de fuerza bruta
- oscuro.[arch]: Binario basado en Mirai utilizado para la propagación mediante exploit o fuerza bruta
Descubre más contenido