PolarEdge: La botnet que ataca dispositivos Cisco, ASUS, Synology y QNAP

Una nueva campaña de malware ha sido detectada apuntando a dispositivos periféricos de Cisco, ASUS, QNAP y Synology, infectándolos con la botnet PolarEdge desde finales de 2023.

Según la firma de ciberseguridad Sekoia, los atacantes están explotando CVE-2023-20118 (puntuación CVSS: 6.5), una vulnerabilidad crítica en enrutadores Cisco Small Business (RV016, RV042, RV042G, RV082, RV320 y RV325). Esta falla permite la ejecución de comandos arbitrarios, lo que facilita el control remoto de los dispositivos.

Vulnerabilidad en routers Cisco: Un problema sin parche
Punto clave: Cisco no ha lanzado un parche para esta vulnerabilidad, ya que los dispositivos afectados han alcanzado el estado End of Life (EoL).

Como medida de mitigación, Cisco recomendó en 2023:

✅ Desactivar la gestión remota
✅ Bloquear los puertos 443 y 60443

A pesar de estas recomendaciones, los atacantes han explotado activamente la vulnerabilidad para instalar una puerta trasera TLS en los dispositivos comprometidos.

Cómo funciona el ataque de PolarEdge

Los ciberdelincuentes utilizan esta vulnerabilidad para inyectar un implante malicioso en los dispositivos comprometidos. La botnet PolarEdge opera de la siguiente manera:

1️⃣ Explota CVE-2023-20118 para acceder al dispositivo.
2️⃣ Descarga un script de shell ("q") vía FTP, que ejecuta el código malicioso.
3️⃣ Limpia registros y termina procesos sospechosos para evitar la detección.
4️⃣ Descarga una carga maliciosa ("t.tar") desde la dirección IP 119.8.186[.]227.
5️⃣ Ejecuta "cipher_log", un binario que actúa como puerta trasera TLS.
6️⃣ Establece persistencia, modificando el archivo /etc/flash/etc/cipher.sh para que "cipher_log" se ejecute repetidamente.

Una vez activo, PolarEdge entra en un bucle infinito, estableciendo una sesión TLS y generando un proceso secundario para recibir comandos de los atacantes.

Comunicación con el Servidor C2

📡 El malware informa al servidor de comando y control (C2) que la infección ha sido exitosa, enviando datos del dispositivo comprometido, incluyendo IP y puerto.

Expansión de la botnet: ASUS, QNAP y Synology también afectados

Investigaciones posteriores han identificado cargas útiles similares dirigidas a dispositivos de ASUS, QNAP y Synology.

🔹 Todos los artefactos fueron subidos a VirusTotal por usuarios ubicados en Taiwán.
🔹 Se distribuyen a través de FTP, utilizando la IP 119.8.186[.]227 (perteneciente a Huawei Cloud).

Impacto global: Se estima que PolarEdge ha comprometido más de 2.017 direcciones IP en países como:

• 🇺🇸 Estados Unidos
• 🇹🇼 Taiwán
• 🇷🇺 Rusia
• 🇮🇳 India
• 🇧🇷 Brasil
• 🇦🇺 Australia
• 🇦🇷 Argentina

¿Cuál es el propósito de la botnet PolarEdge?

Aunque el objetivo exacto de PolarEdge aún no está claro, los expertos creen que:

🔹 Podría convertir los dispositivos comprometidos en nodos de retransmisión para lanzar ciberataques ofensivos.
🔹 Su sofisticación sugiere que está operada por actores altamente calificados.

Ataques de fuerza bruta contra Microsoft 365: Relación con una botnet masiva

La revelación de PolarEdge coincide con un informe de SecurityScorecard, que ha identificado una botnet de 130,000 dispositivos infectados utilizada para ataques de rociado de contraseñas contra cuentas de Microsoft 365 (M365).

Método utilizado:

Los atacantes explotan inicios de sesión no interactivos con autenticación básica, que:

✅ No activan la autenticación multifactor (MFA) en muchas configuraciones.
✅ Permiten enviar credenciales en texto plano, aumentando el riesgo de robo de datos.

Se sospecha que esta actividad está vinculada a actores de amenazas chinos, utilizando infraestructura de CDS Global Cloud y UCLOUD HK para acceder a cuentas comprometidas.

Una amenaza en expansión

 PolarEdge es una botnet emergente que está comprometiendo dispositivos de Cisco, ASUS, QNAP y Synology en todo el mundo. Su capacidad para evadir detección, establecer persistencia y comunicarse con servidores C2 la convierte en una amenaza seria para la seguridad de redes y dispositivos IoT.

Recomendaciones clave para mitigar riesgos:

✔️ Desactivar la gestión remota en dispositivos vulnerables.
✔️ Bloquear puertos utilizados en ataques (443 y 60443).
✔️ Actualizar firmwares y reemplazar hardware obsoleto.
✔️ Monitorizar actividad inusual en redes empresariales.

La rápida evolución de PolarEdge y su relación con otras botnets sugiere que esta amenaza seguirá creciendo. La ciberseguridad proactiva es clave para proteger infraestructuras críticas y datos sensibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[/color]