Nueva botnet de EwDoor dirigida a dispositivos de AT&T

Una botnet recientemente descubierta capaz de organizar ataques distribuidos de denegación de servicio (DDoS) se dirigió a los dispositivos EdgeMarc de Ribbon Communications (anteriormente Edgewater Networks) sin parches pertenecientes al proveedor de servicios de telecomunicaciones AT&T mediante la explotación de una falla de cuatro años en los dispositivos de red.

La división de seguridad de red Netlab del gigante tecnológico chino Qihoo 360, que detectó la botnet por primera vez el 27 de octubre de 2021, la llamó EwDoor , y señaló que observó 5.700 direcciones IP comprometidas ubicadas en los EE. UU. Durante un breve período de tres horas.

"Hasta ahora, en nuestra opinión, EwDoor se ha sometido a tres versiones de actualizaciones, y sus funciones principales se pueden resumir en dos categorías principales de ataques DDoS y puerta trasera", señalaron los investigadores . "Teniendo en cuenta que los dispositivos atacados están relacionados con la comunicación telefónica, suponemos que su objetivo principal son los ataques DDoS y la recopilación de información confidencial, como registros de llamadas".


Al propagarse a través de una falla en los dispositivos EdgeMarc, EwDoor admite una variedad de características, incluida la capacidad de auto-actualizarse, descargar archivos, obtener un shell inverso en la máquina comprometida y ejecutar cargas útiles arbitrarias. La vulnerabilidad en cuestión es CVE-2017-6079 (puntuación CVSS: 9.8 ), una falla de inyección de comando que afecta a los controladores de borde de sesión que podrían ser armados para ejecutar comandos maliciosos.

EwDoor, además de recopilar información sobre el sistema infectado, también establece comunicaciones con un servidor de comando y control remoto (C2), ya sea directa o indirectamente utilizando BitTorrent Trackers para obtener la dirección IP del servidor C2, a la espera de más comandos emitidos por los atacantes.

Cuando se le solicitó un comentario, AT&T dijo: "Identificamos previamente este problema, tomamos medidas para mitigarlo y seguimos investigando" y que "no tenemos evidencia de que se haya accedido a los datos de los clientes".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta