Hackers explotan los errores de día cero en los dispositivos Draytek

  • 0 Respuestas
  • 158 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1200
  • Actividad:
    100%
  • Country: gt
  • Reputación 16
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


Investigadores de ciberseguridad con NetLab de Qihoo 360 revelaron hoy detalles de dos campañas de ciberataque de día cero recientemente descubiertas en la naturaleza dirigidas a dispositivos de red de nivel empresarial fabricados por DrayTek con sede en Taiwán.

Según el informe , al menos dos grupos separados de piratas informáticos explotaron dos vulnerabilidades críticas de inyección de comandos remotos ( CVE-2020-8515 ) que afectan a los conmutadores empresariales DrayTek Vigor, equilibradores de carga, enrutadores y dispositivos de puerta de enlace VPN para espiar el tráfico de red e instalar puertas traseras.

Los ataques de día cero comenzaron en algún lugar a fines de noviembre pasado o principios de diciembre y todavía están potencialmente en curso contra miles de conmutadores DrayTek expuestos públicamente , Vigor 2960, 3900, 300B.dispositivos que aún no han sido parcheados con las últimas actualizaciones de firmware lanzadas el mes pasado.

Las vulnerabilidades de día cero en cuestión pueden ser explotadas por cualquier atacante remoto no autorizado para inyectar y ejecutar comandos arbitrarios en el sistema, como también lo detalla un investigador independiente en su blog.



"Los dos puntos de inyección del comando de vulnerabilidad de 0 días son keyPath y rtick, ubicados en /www/cgi-bin/mainfunction.cgi, y el programa correspondiente del servidor web es / usr / sbin / lighttpd", dice el informe.



Los investigadores de NetLab aún no han atribuido ambos ataques a ningún grupo específico, pero sí confirmaron que si bien el primer grupo simplemente espió el tráfico de la red, el segundo grupo de atacantes utilizó la vulnerabilidad de inyección de comando rtick para crear:

- la puerta trasera de sesión web que nunca caduca,
- Puerta trasera SSH en los puertos TCP 22335 y 32459,
- cuenta de sistema de puerta trasera con usuario "wuwuhanhan" y contraseña "caonimuqin".

Tenga en cuenta que si acaba de instalar el firmware parcheado o si lo instala ahora, no eliminará las cuentas de puerta trasera automáticamente en caso de que ya esté comprometido.

"Recomendamos que los usuarios de DrayTek Vigor verifiquen y actualicen su firmware de manera oportuna y verifiquen si hay un proceso tcpdump, una cuenta de puerta trasera SSH, puerta trasera de sesión web, etc. en sus sistemas".

"Si tiene el acceso remoto habilitado en su enrutador, desactívelo si no lo necesita, y use una lista de control de acceso si es posible", sugiere la compañía.

La lista de versiones de firmware afectadas es la siguiente:


- Vigor2960 <v1.5.1
- Vigor300B <v1.5.1
- Vigor3900 <v1.5.1
- VigorSwitch20P2121 <= v2.3.2
- VigorSwitch20G1280 <= v2.3.2
- VigorSwitch20P1280 <= v2.3.2
- VigorSwitch20G2280 <= v2.3.2
- VigorSwitch20P2280 <= v2.3.2

Se recomienda encarecidamente a las empresas e individuos afectados que instalen las últimas actualizaciones de firmware para proteger completamente sus valiosas redes contra malware y amenazas emergentes en línea.

Vía: You are not allowed to view links. Register or Login

 

Internet de las Cosas, el internet de los "hackers"

Iniciado por DUDA

Respuestas: 0
Vistas: 1829
Último mensaje Abril 12, 2017, 03:57:13 pm
por DUDA
El FBI alerta a los empresarios: "Hackers liberaron un gran virus"

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 1816
Último mensaje Diciembre 02, 2014, 09:14:04 pm
por Alejandro_99
Banda de "hackers" roba 1.000 millones de dólares a centenar de bancos

Iniciado por Expiaxxx

Respuestas: 1
Vistas: 2302
Último mensaje Febrero 17, 2015, 10:42:04 pm
por q3rv0
El "Himno de la Alegría" es interpretado por un "coro" de 300 dispositivos

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 1581
Último mensaje Febrero 15, 2015, 11:22:10 pm
por Alejandro_99
Sudo se vuelve a actualizar, para evitar que hackers ejecuten comandos como Root

Iniciado por Dragora

Respuestas: 0
Vistas: 743
Último mensaje Febrero 04, 2020, 02:37:12 pm
por Dragora