Variante de Mirai explota vulnerabilidad en router para ataques DDoS

Se ha identificado una nueva variante de la botnet Mirai que explota una vulnerabilidad crítica recientemente descubierta en los routers industriales de Four-Faith. Este fallo de seguridad, activo desde principios de noviembre de 2024, permite la ejecución de ataques de denegación de servicio distribuido (DDoS). La botnet, que mantiene unas 15.000 direcciones IP activas diarias, ha infectado principalmente dispositivos en China, Irán, Rusia, Turquía y Estados Unidos.

El malware, operativo desde febrero de 2024, utiliza más de 20 vulnerabilidades de seguridad conocidas y credenciales débiles de Telnet para acceder a los sistemas. Esta variante, denominada "gayfemboy" por un término ofensivo presente en su código fuente, ha sido estudiada por QiAnXin XLab. Los investigadores descubrieron que aprovechó una vulnerabilidad de día cero en los routers industriales de Four-Faith, modelos F3x24 y F3x36, identificada como CVE-2024-12856. Este fallo, con una puntuación CVSS de 7,2, es un error de inyección de comandos del sistema operativo que se explota mediante credenciales predeterminadas no modificadas. Los ataques iniciales fueron detectados el 9 de noviembre de 2024.

Según VulnCheck, la vulnerabilidad CVE-2024-12856 ha sido utilizada para lanzar shells inversos y distribuir cargas útiles similares a Mirai en dispositivos comprometidos. Además de esta, la botnet también explota otras fallas de seguridad como CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957 para expandir su alcance.

Una vez activo, el malware oculta procesos maliciosos y utiliza un formato de comando basado en Mirai para identificar dispositivos vulnerables, actualizarse y ejecutar ataques DDoS. Estos ataques, que generan tráfico de hasta 100 Gbps, se dirigen a cientos de objetivos diferentes diariamente, con una duración de entre 10 y 30 segundos. La actividad alcanzó su pico máximo en octubre y noviembre de 2024.

La relevancia de esta amenaza ha sido destacada por Juniper Networks, que alertó sobre ataques dirigidos a productos Session Smart Router (SSR) con contraseñas predeterminadas. Asimismo, Akamai reportó infecciones de Mirai que explotan vulnerabilidades de ejecución remota de código en los DVR DigiEver.

"Los ataques DDoS son una de las formas más comunes y destructivas de ciberataques. Su diversidad, complejidad y evolución constante representan una amenaza significativa para empresas, gobiernos y usuarios individuales", señalaron los investigadores de XLab.

En paralelo, actores maliciosos están aprovechando servidores PHP vulnerables, como el fallo CVE-2024-4577, para desplegar el malware de minería de criptomonedas PacketCrypt. Esta tendencia evidencia cómo las vulnerabilidades en dispositivos y sistemas mal configurados continúan siendo un vector clave para actividades maliciosas en el ecosistema digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta