Mukashi: una nueva variante de botnet Mirai IoT dirigida a dispositivos NAS Zyxe

Una nueva versión de la infame botnet Mirai está explotando una vulnerabilidad crítica recientemente descubierta en dispositivos de almacenamiento conectado a la red (NAS) en un intento de infectar y controlar remotamente máquinas vulnerables.

Llamada " Mukashi " , la nueva variante del malware emplea ataques de fuerza bruta utilizando diferentes combinaciones de credenciales predeterminadas para iniciar sesión en los productos de firewall Zyxel NAS, UTM, ATP y VPN para tomar el control de los dispositivos y agregarlos a una red de infectados. bots que pueden usarse para llevar a cabo ataques de denegación de servicio distribuida (DDoS).

Múltiples productos NAS de Zyxel que ejecutan versiones de firmware de hasta 5.21 son vulnerables al compromiso, dijo el equipo de inteligencia de amenazas globales de la Unidad 42 de Palo Alto Networks, agregando que descubrieron la primera explotación de la falla en la naturaleza el 12 de marzo.

Falla de inyección del comando de autenticación previa de Zyxel

Mukashi depende de una vulnerabilidad de inyección de comando previa a la autenticación ( registrada como CVE-2020-9054 ), para la cual una prueba de concepto solo se hizo pública el mes pasado. La falla reside en un programa "weblogin.cgi" utilizado por los dispositivos Zyxel, lo que potencialmente permite a los atacantes ejecutar código remoto mediante la inyección de comandos.

"El ejecutable weblogin.cgi no desinfecta correctamente el parámetro de nombre de usuario durante la autenticación. El atacante puede usar una comilla simple (') para cerrar la cadena y un punto y coma ( para concatenar comandos arbitrarios para lograr la inyección de comandos", según Unit 42 investigadores. "Dado que weblogin.cgi acepta solicitudes HTTP GET y POST, el atacante puede incrustar la carga maliciosa en una de estas solicitudes HTTP y obtener la ejecución del código".



Zyxel emitió un parche para la vulnerabilidad el mes pasado después de que surgió que se vendían instrucciones precisas para explotar la falla en foros clandestinos de cibercrimen por $ 20,000 para usar contra objetivos. Pero la actualización no soluciona la falla en muchos dispositivos antiguos no compatibles.

Como solución alternativa, el fabricante de equipos de red con sede en Taiwán ha instado a los usuarios de esos modelos afectados a que no dejen los productos expuestos directamente a Internet y los conecten a un enrutador de seguridad o firewall para protección adicional.

Mukashi apunta a dispositivos NAS Zyxel

Al igual que otras variantes de Mirai, Mukashi opera escaneando Internet en busca de dispositivos de IoT vulnerables como enrutadores, dispositivos NAS, cámaras de seguridad y grabadoras de video digital (DVR), en busca de hosts potenciales que estén protegidos solo por credenciales predeterminadas de fábrica o de uso común contraseñas para cooptarlas en la botnet.

Si un inicio de sesión de fuerza bruta resulta exitoso, Mukashi no solo informa el intento de inicio de sesión a un servidor de comando y control (C2) controlado por un atacante remoto, sino que también espera nuevos comandos para lanzar ataques DDoS.



"Cuando se ejecuta, Mukashi imprime el mensaje 'Protegiendo su dispositivo de futuras infecciones'. a la consola ", dijeron los investigadores de Unit42. "El malware luego cambia su nombre de proceso a dvrhelper, lo que sugiere que Mukashi puede heredar ciertos rasgos de su predecesor".

La historia de Mirai de los ataques DDoS

La botnet Mirai , desde su descubrimiento en 2016, se ha vinculado a una serie de ataques DDoS a gran escala, incluido uno contra el proveedor de servicios DNS Dyn en octubre de 2016, lo que hace que las principales plataformas y servicios de Internet permanezcan inaccesibles para los usuarios en Europa y América del Norte. .

Desde entonces, han surgido numerosas variantes de Mirai , en parte debido a la disponibilidad de su código fuente en Internet desde 2016.

Se recomienda que todos los consumidores de Zyxel descarguen la actualización del firmware para proteger los dispositivos de los secuestros de Mukashi. La actualización de las credenciales predeterminadas con contraseñas de inicio de sesión complejas también puede contribuir en gran medida a prevenir tales ataques de fuerza bruta.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta