La nueva y unica capacidad de bot Mirai le hace sobrevivir a reinicio del dispositivo IO
Hasta ahora, todos los programas nocivos para dispositivos IO sólo sobrevivian hasta que el usuario reinicia su equipo, que borra la memoria del dispositivo y borra el malware desde el equipo del usuario.Exploraciones de Internet intensos para los objetivos vulnerables significa que los dispositivos sobrevivieron sólo unos minutos hasta que se vuelven a infectar de nuevo, lo que significa que los usuarios necesitan para asegurar los dispositivos con contraseñas únicas o lugar detrás de cortafuegos para evitar la explotación.
La nueva vulnerabilidad permite infecciones permanentes del bot Mirai
Durante la investigación de la seguridad de más de 30 marcas de DVR, los investigadores de Pen Test Partners han descubierto una nueva vulnerabilidad que podría permitir el gusano Mirai IO y otros programas maliciosos sobrevivir tras el reinicio del dispositivo, lo que permite la creación de una red de bots IO permanente."Hemos encontramos una ruta para fijar de forma remota Mirai dispositivos vulnerables", dijo el investigador Ken Munro de Pen Test Partners "El problema es que este método también puede ser utilizado para hacer Mirai persistente más allá de un apagado de reinicio".
Comprensiblemente, Munro y sus colegas decidieron no publicar ningún detalle acerca de este defecto, por temor a que podrían malhechores en armas y crear versiones no extraíbles de Mirai, un malware conocido para el lanzamiento de algunos de los mayores ataques DDoS conocidos en la actualidad.
Otros defectos podrían traer de vuelta Mirai de entre los muertos
Su investigación no se detiene aquí. El equipo de Prueba de penetración también descubrió otras vulnerabilidades y detalles que Mirai podría aprovechar para ser relevante e incluso una amenaza mayor de lo que era antes.
- Nuevas credenciales predeterminadas DVR que podrían añadirse al componente gusano integrado de Mirai (que se extiende a nuevos dispositivos con el lanzamiento de ataques de fuerza bruta en el puerto Telnet mediante una lista de credenciales de administrador por defecto)
- Un puerto Telnet no estándar (12323) que algunos DVR utilizados como una alternativa al puerto Telnet estándar 23.
- Shell remoto en algunas marcas de DVR cuando se autentica a través del puerto 9527 con credenciales "admin / [blanco]" y "admin / 123456".
- Una marca de DVR que utiliza día que va variando las contraseñas, los cuales fueron publicados en línea por desgracia en su documentación.
- Un error de desbordamiento del búfer presente en el firmware de más de 1 millón de DVR conectados a Internet. Los investigadores afirman que este error podría ser explotado a través del puerto 80, que es el servidor web incorporado en el DVR. Este servidor viene habilitado por defecto para la mayoría de los dispositivos que permiten a los usuarios gestionar los DVR desde una ubicación remota.
- Un error de recorrido de directorio que permite a los atacantes para recuperar los hashes de contraseñas de DVR remotos.
Todos ellos, si se explota, podría permitir a los atacantes dar nueva vida a Mirai, una familia de malware IO que ha ido perdiendo terreno poco a poco a los recién llegados como Persirai, BrickerBot, o el más viejo gusano Hajime.
Además, la semana del 12 de junio, Dahua Technologies, una de las compañías cuyos dispositivos eran uno de los principales carne de cañón para las redes de bots Mirai DDoS, anunció una asociación con Synopsys Solutions, una compañía de seguridad cibernética, con la intención de mejorar el firmware de sus dispositivos IO contra el malware.
Este es el segundo proveedor de DVR que toma medidas contra Mirai después del año pasado Hangzhou Xiongmai Tecnología anunció que retirará varios tipos de cámaras IP que eran vulnerables a Mirai malware.
Por desgracia, Xiongmai no pudo hacer lo mismo con su línea de DVR, que la empresa crea y vende como productos de marca blanca a un gran número de otros proveedores, que golpeó a su logotipo en la parte superior y revendidos los DVR como sus propios productos.
En su investigación más reciente, la tripulación Prueba de penetración rastreó la mayor parte de los equipos DVR vulnerables a los ataques de Mirai a los DVR de marca blanca vendidos por Xiongmai, y una herramienta llamada "makepack", que Xiongmai proporciona a los vendedores que compraron sus DVR de marca blanca.
Fecha actualización el 2017-6-19. Fecha publicación el 2017-6-19. Categoría: Mirai. Autor: Oscar olg Mapa del sitio Fuente:bleepingcomputer