Nueva botnet explota vulnerabilidades en NVR y routers TP-Link

Iniciado por AXCESS, Diciembre 25, 2024, 02:38:44 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 25, 2024, 02:38:44 AM Ultima modificación: Diciembre 25, 2024, 02:41:03 AM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva botnet basada en Mirai está explotando activamente una vulnerabilidad de ejecución remota de código que no ha recibido un número de seguimiento y que parece no tener parches en los NVR DigiEver DS-2105 Pro.

La campaña comenzó en octubre y tiene como objetivo varios grabadores de vídeo en red y enrutadores TP-Link con firmware desactualizado.

Una de las vulnerabilidades utilizadas en la campaña fue documentada por el investigador de TXOne Ta-Lun Yen y presentada el año pasado en la conferencia de seguridad DefCamp en Bucarest, Rumania. El investigador dijo en ese momento que el problema afecta a varios dispositivos DVR.

Los investigadores de Akamai observaron que la botnet comenzó a explotar la falla a mediados de noviembre, pero encontraron evidencia de que la campaña ha estado activa desde al menos septiembre.

Además de la falla de DigiEver, la nueva variante de malware Mirai también ataca a CVE-2023-1389 en dispositivos TP-Link y a CVE-2018-17532 en enrutadores Teltonika RUT9XX.

Ataques a NVR DigiEver

La vulnerabilidad explotada para comprometer los NVR DigiEver es una falla de ejecución de código remoto (RCE) y los piratas informáticos apuntan a la URI '/cgi-bin/cgi_main. cgi', que valida incorrectamente las entradas del usuario.

Esto permite a los atacantes remotos no autenticados inyectar comandos como 'curl' y 'chmod' a través de ciertos parámetros, como el campo ntp en las solicitudes HTTP POST.

Akamai afirma que los ataques que ha visto de esta botnet basada en Mirai parecen similares a lo que se describe en la presentación de Ta-Lun Yen.

A través de la inyección de comandos, los atacantes obtienen el binario del malware de un servidor externo y registran el dispositivo en su botnet. La persistencia se logra agregando trabajos cron.

Una vez que el dispositivo está comprometido, se lo utiliza para realizar ataques de denegación de servicio distribuido (DDoS) o para propagarse a otros dispositivos aprovechando conjuntos de exploits y listas de credenciales.

Akamai dice que la nueva variante de Mirai es notable por su uso de cifrado XOR y ChaCha20 y su objetivo de una amplia gama de arquitecturas de sistemas, incluyendo x86, ARM y MIPS.

"Aunque el empleo de métodos de descifrados complejos no es nuevo, sugiere tácticas, técnicas y procedimientos en evolución entre los operadores de botnets basados en Mirai", comenta Akamai.

"Esto es especialmente destacable porque muchas botnets basadas en Mirai todavía dependen de la lógica de ofuscación de cadenas original del código reciclado que se incluyó en la versión del código fuente del malware Mirai original", afirman los investigadores.

Los investigadores señalan que la botnet también explota CVE-2018-17532, una vulnerabilidad en los enrutadores Teltonika RUT9XX, así como CVE-2023-1389, que afecta a los dispositivos TP-Link.

Los indicadores de compromiso (IoC) asociados con la campaña están disponibles al final del informe de Akamai, junto con las reglas de Yara para detectar y bloquear la amenaza.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario