Nueva botnet es capaz de explotar vulnerabilidades en NVRs y routers TP-Link
En estos momentos, una nueva botnet basada en el malware Mirai ha estado explotando activamente una vulnerabilidad de ejecución remota de código que no ha recibido seguimiento y, además, parece que no tiene parches en los NVRs.
Esta campaña maliciosa comenzó en el mes de octubre del año pasado y tiene como objetivo múltiples grabadoras de vídeo en red, además de routers TP-Link que tienen su firmware desactualizado.
Una de las vulnerabilidades empleadas en la campaña, ha sido documentada por especialistas en ciberseguridad, la cual presentaron el año pasado en diversas conferencias de seguridad informática, una de las más importantes ocurrió en Bucarest, Rumania. Los investigadores señalaron en ese momento que el problema se encuentra afectando a varios dispositivos DVR.
Además, los investigadores han observado que la botnet comenzó a explotar la falla a mediados del mes de noviembre de 2024, pero encontraron evidencia de que esta campaña ha estado activa desde, al menos, el mes de septiembre del año que acaba de terminar.
Esta vulnerabilidad, la cual ha sido explotada para comprometer los NVR de reconocidas firmas y empresas, es un fallo de ejecución remoto (RCE) y los hackers maliciosos están apuntando a diversas URL, las cuales validan incorrectamente las entradas de los usuarios.
Esta acción permite a los ciberdelincuentes remotos y no autenticados, inyectar comandos como “curl” y “chmod”, por medio de ciertos parámetros, como el campo ntp en las solicitudes de HTTP POST.
Del mismo modo, los expertos mencionan que los ataques que han visto por parte de esta botnet, la cual está basada en el malware Mirai, parecen similares a los ataques que se describen en algunas presentaciones de expertos en ciberseguridad que dictan en diversas conferencias.
TIC Defense se encarga de mantener una seguridad informática óptima de la infraestructura de tu empresa. Contamos con diversos servicios, herramientas, productos y soluciones acordes a las necesidades informáticas de tu organización, en donde la prevención y la respuesta rápida a eventos maliciosos son nuestros pilares fundamentales.
Por medio de la inyección de comandos, los atacantes pueden obtener el binario del malware de un servidor externo y, a continuación, enlistan el dispositivo en su botnet. Igualmente, la persistencia se logra agregando trabajos “cron”.
Una vez que el dispositivo se encuentra comprometido, se utiliza para realizar ataques de denegación de servicio distribuido o DDoS o para propagarse a otros equipos, aprovechando conjuntos de exploits y listas de credenciales.
Los investigadores señalan que la nueva variante del malware Mirai es notable por el uso de cifrado XOR y ChaCha20, además de tener una amplia gama de arquitecturas de sistemas, entre los que se incluyen x86, ARM y MIPS.
Esto llama la atención debido a que muchas botnets basadas en Mirai todavía dependen de la lógica de ofuscación de cadenas original del código reciclado, que se ha incluido en la versión del código fuente del malware Mirai original, manifiestan los expertos.
De igual manera, explican que la botnet también explota un CVE-2018-17532, una vulnerabilidad en los routers Teltonika RUT9XX, así como también, la CVE-2023-1389, que afecta a los dispositivos TP-Link. Los indicadores de compromiso (IoC) asociados con la campaña están disponibles al final del informe de los investigadores, junto con las reglas y procedimientos para detectar y bloquear la amenaza.
