Malware de la botnet Aquabotv3 ataca la falla de inyección de comandos de Mitel

Iniciado por AXCESS, Enero 30, 2025, 06:14:16 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 30, 2025, 06:14:16 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha observado que una nueva variante del malware Aquabot, basado en Mirai, explota activamente CVE-2024-41710, una vulnerabilidad de inyección de comandos en los teléfonos SIP de Mitel.

La actividad fue descubierta por el Equipo de Inteligencia y Respuesta de Seguridad (SIRT) de Akamai, que informa que esta es la tercera variante de Aquabot que pasa desapercibida.

La familia de malware se introdujo en 2023 y, posteriormente, se lanzó una segunda versión que añadía mecanismos de persistencia. La tercera variante, "Aquabotv3", introdujo un sistema que detecta señales de terminación y envía la información al servidor de comando y control (C2).

Akamai comenta que el mecanismo de Aquabotv3 para informar de los intentos de eliminación es inusual para las botnets y es posible que se haya añadido para ofrecer a sus operadores una mejor supervisión.

Proceso de notificación de intentos de eliminación al C2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ataque a teléfonos Mitel

CVE-2024-41710 es una falla de inyección de comandos que afecta a los teléfonos SIP de las series 6800, 6900 y 6900w de Mitel, que se utilizan normalmente en oficinas corporativas, empresas, agencias gubernamentales, hospitales, institutos educativos, hoteles e instituciones financieras.

Es una falla de gravedad media que permite a un atacante autenticado con privilegios de administrador realizar un ataque de inyección de argumentos debido a una limpieza insuficiente de los parámetros durante el proceso de arranque, lo que da como resultado la ejecución arbitraria de comandos.

El 17 de julio de 2024, Mitel publicó correcciones y un aviso de seguridad sobre esta falla, instando a los usuarios a actualizar. Dos semanas después, el investigador de seguridad Kyle Burns publicó una prueba de concepto (PoC) en GitHub.

El uso de este PoC por parte de Aquabotv3 para explotar CVE-2024-41710 en ataques es el primer caso documentado de aprovechamiento de esta vulnerabilidad.

"Akamai SIRT detectó intentos de explotación de esta vulnerabilidad a través de nuestra red global de honeypots a principios de enero de 2025 utilizando una carga útil casi idéntica a la PoC", explican los investigadores.

El hecho de que los ataques requieran autenticación indica que la botnet de malware utiliza la fuerza bruta para obtener el acceso inicial.

Los atacantes crean una solicitud HTTP POST dirigida al punto final vulnerable 8021xsupport.html, responsable de la configuración de autenticación 802.1x en los teléfonos SIP de Mitel.

La aplicación procesa incorrectamente la entrada del usuario, lo que permite que se inserten datos malformados en la configuración local del teléfono (/nvdata/etc/local.cfg).

A través de la inyección de caracteres de final de línea (%dt → %0d), los atacantes logran manipular cómo se analiza el archivo de configuración durante el arranque del dispositivo para ejecutar un script de shell remoto (bin.sh) desde su servidor.

Este script descarga e instala una carga útil de Aquabot para la arquitectura definida (x86, ARM, MIPS, etc.), establece sus permisos de ejecución usando 'chmod 777' y luego limpia cualquier rastro.

Actividad de Aquabotv3

Una vez que se asegura la persistencia, Aquabotv3 se conecta a su C2 a través de TCP para recibir instrucciones, comandos de ataque, actualizaciones o cargas útiles adicionales.

A continuación, intenta propagarse a otros dispositivos IoT mediante el exploit Mitel, CVE-2018-17532 (TP-Link), CVE-2023-26801 (RCE de firmware IoT), CVE-2022-31137 (RCE de aplicación web), Linksys E-series RCE, Hadoop YARN y CVE-2018-10562 / CVE-2018-10561 (errores del enrutador Dasan).

El malware también intenta forzar las credenciales SSH/Telnet predeterminadas o débiles para propagarse a dispositivos poco seguros en la misma red.

El objetivo de Aquabotv3 es incorporar dispositivos a su enjambre de denegación de servicio (DDoS) y utilizarlos para llevar a cabo ataques TCP SYN, TCP ACK, UDP, GRE IP y de capa de aplicación.

El operador de la botnet anuncia sus capacidades DDoS en Telegram bajo los nombres Cursinq Firewall, The Eye Services y The Eye Botnet, presentándola como una herramienta de prueba para medidas de mitigación de DDoS.

Akamai ha enumerado los indicadores de compromiso (IoC) asociados con Aquabotv3, así como las reglas Snort y YARA para detectar el malware, en la parte inferior de su informe.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario