Una nueva variante de Mirai ataca a dispositivos de IoT vulnerables

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Se ha descubierto una nueva variante de la botnet Mirai dirigida a una serie de vulnerabilidades en dispositivos D-Link, Netgear y SonicWall sin parchear, así como fallos nunca antes vistos en dispositivos desconocidos de Internet de las cosas (IoT).

Desde el 16 de febrero, la nueva variante ha estado apuntando a seis vulnerabilidades conocidas – y tres previamente desconocidas – con el fin de infectar los sistemas y agregarlos a una red de bots. Las vulnerabilidades conocidas explotadas incluyen un exploit SSL-VPN de SonicWall; un exploit del firewall DNS-320 de D-Link (CVE-2020-25506); defectos de ejecución remota de código (RCE) de administración de dispositivos de Yealink (CVE-2021-27561 y CVE-2021-27562); un defecto de RCE en Netgear ProSAFE Plus (CVE-2020-26919); un defecto de RCE en Micro Focus Operation Bridge Reporter (CVE-2021-22502); y un exploit del router inalámbrico Netis WF2419 (CVE-2019-19356 ). La botnet también explota vulnerabilidades que no se han identificado previamente, y que los investigadores creen que ya estaban presentes en los dispositivos de IoT.

Los exploits en sí incluyen dos ataques RCE, incluyendo un exploit dirigido a una vulnerabilidad de inyección de comandos en ciertos componentes; y un exploit dirigido al script de inicio de sesión Common Gateway Interface (CGI). El tercer exploit apunta al parámetro op_type, que conduce a una inyección de comandos, dijeron los investigadores.

"Los ataques todavía están en curso", señalan investigadores del equipo Unit 42 de Palo Alto Networks. "Tras la explotación exitosa, los atacantes tratan de descargar un script shell malicioso, que contiene más comportamientos de infección, como descargar y ejecutar nuevo malware”.