Botnets DDoS explotaron fallas de 0 días en los sistemas de vigilancia LILIN DVR

Iniciado por Dragora, Marzo 22, 2020, 09:31:32 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.



Múltiples vulnerabilidades de día cero en grabadoras de video digital (DVR) para sistemas de vigilancia fabricados por LILIN con sede en Taiwán han sido explotadas por operadores de botnets para infectar y cooptar dispositivos vulnerables en una familia de bots de denegación de servicio.

Los hallazgos provienen del equipo Netlab de la firma de seguridad china Qihoo 360 , quienes dicen que diferentes grupos de ataque han estado utilizando vulnerabilidades de día cero LILIN DVR para difundir las botnets Chalubo , FBot y Moobot al menos desde el 30 de agosto de 2019.

Los investigadores de Netlab dijeron que llegaron a LILIN el 19 de enero de 2020, aunque no fue hasta un mes después que el proveedor lanzó una actualización de firmware (2.0b60_20200207) abordando las vulnerabilidades.

El desarrollo se produce a medida que los dispositivos IoT se utilizan cada vez más como una superficie de ataque para lanzar ataques DDoS y como representantes para participar en diversas formas de cibercrimen.

¿De qué se tratan los días cero de LILIN?

La falla en sí misma se refiere a una cadena de vulnerabilidades que hacen uso de credenciales de inicio de sesión codificadas (root / icatch99 e report / 8Jg0SR8K50), lo que potencialmente le otorga al atacante la capacidad de modificar el archivo de configuración de un DVR e inyectar comandos de puerta trasera cuando el servidor FTP o NTP Las configuraciones están sincronizadas.



En un escenario separado, los investigadores descubrieron que el proceso responsable de la sincronización horaria NTP (NTPUpdate) no verifica si hay caracteres especiales en el servidor pasados ​​como entrada, lo que hace posible que los atacantes puedan inyectar y ejecutar comandos del sistema.

La nueva versión parcheada soluciona los defectos al validar el nombre de host para evitar la ejecución de comandos.

Hacer cumplir contraseñas seguras

Netlab dijo que los operadores detrás de la botnet Chalubo fueron los primeros en explotar la vulnerabilidad NTPUpdate para secuestrar los DVR LILIN en agosto pasado. Posteriormente, se encontró la botnet FBot utilizando las fallas FTP / NTP a principios de enero. Dos semanas después, Moobot comenzó a propagarse a través de la vulnerabilidad FTP de 0 días de LILIN.

Los investigadores dijeron que contactaron a LILIN dos veces, primero después de los ataques de FBot, y luego una segunda vez después de que ocurrieron las infecciones de Moobot.

Aunque Netlab no entró en detalles de los motivos detrás de las infecciones, no sería sorprendente si fueran utilizados por actores de amenazas para realizar ataques distribuidos de denegación de servicio (DDoS) en sitios web y servicios DNS.

"Los usuarios de LILIN deben verificar y actualizar los firmwares de sus dispositivos de manera oportuna, y se deben aplicar credenciales de inicio de sesión sólidas para el dispositivo", dijeron los investigadores de Netlab.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta