Alerta de Juniper Networks: Ataques con Mirai a routers SSR

Juniper Networks ha emitido una advertencia crítica sobre una campaña maliciosa que explota los routers Session Smart Router (SSR) configurados con contraseñas predeterminadas. Esta actividad maliciosa utiliza el conocido malware de botnet Mirai para comprometer sistemas y lanzar ataques de denegación de servicio distribuido (DDoS).

El aviso fue emitido después de que "varios clientes" reportaran actividad anómala en las plataformas Session Smart Network (SSN) el 11 de diciembre de 2024. Según la compañía:
"Estos sistemas han sido infectados con el malware Mirai y utilizados como fuentes de ataques DDoS. Todos los dispositivos afectados empleaban contraseñas predeterminadas."

¿Qué es el malware Mirai?

Mirai, cuyo código fuente se filtró en 2016, es un malware especializado en reclutar dispositivos vulnerables en una botnet. Busca activamente vulnerabilidades conocidas y credenciales predeterminadas para tomar el control de sistemas conectados. Este malware ha evolucionado en diversas variantes utilizadas para ejecutar ataques DDoS de alto impacto.

Recomendaciones para mitigar el riesgo

Para proteger dispositivos contra estas amenazas, Juniper Networks recomienda implementar las siguientes medidas de seguridad:

• Cambiar contraseñas predeterminadas por otras únicas y seguras.
• Auditar registros de acceso para identificar actividad sospechosa, como intentos de fuerza bruta en SSH o escaneos de puertos inusuales.
• Configurar firewalls para bloquear accesos no autorizados y restringir el tráfico saliente a direcciones IP no reconocidas.
• Actualizar el software regularmente para cerrar posibles vulnerabilidades.
• Reimaginar el sistema en caso de infección, ya que no se puede garantizar que el malware no haya alterado configuraciones o robado información.

Indicadores de infección por Mirai

Los siguientes comportamientos pueden indicar la presencia del malware Mirai:

• Escaneo de puertos inusual.
• Intentos repetidos de inicio de sesión SSH (ataques de fuerza bruta).
• Aumento del tráfico saliente hacia direcciones IP sospechosas.
• Reinicios inesperados del sistema.
• Conexiones desde IPs maliciosas conocidas.

Amenaza emergente: malware cShell

En paralelo, el Centro de Inteligencia de Seguridad de AhnLab (ASEC) advirtió sobre una nueva familia de malware DDoS denominada cShell, que apunta a servidores Linux mal configurados, especialmente aquellos con servicios SSH expuestos públicamente.

Desarrollado en el lenguaje Go, cShell aprovecha herramientas de Linux como screen y hping3 para ejecutar ataques DDoS. Este descubrimiento subraya la importancia de fortalecer la seguridad de los servidores Linux y limitar la exposición de servicios críticos.

En fin, el reciente aumento en ataques relacionados con Mirai y cShell destaca la necesidad de una gestión robusta de contraseñas y medidas proactivas de seguridad en infraestructuras conectadas. Organizaciones y administradores deben priorizar la protección de sus redes para prevenir que dispositivos vulnerables sean utilizados como herramientas en campañas maliciosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta