Los investigadores de seguridad detectaron un nuevo botnet IoT denominado DoubleDoor que es capaz de eludir el firewall y la seguridad del módem utilizando dos exploits de puerta trasera.
Los dispositivos de IoT continúan siendo un objetivo privilegiado de los ciberdelincuentes, los ciberatacantes contra los llamados objetos inteligentes han experimentado una rápida evolución. Los investigadores de seguridad de NewSky Security ( NewSky Security ) han detectado un nuevo botnet IoT denominado DoubleDoor que puede eludir el firewall y la seguridad del módem utilizando dos exploits de puerta trasera.
El análisis de los registros de honeypot permitió a los investigadores detectar la nueva amenaza, aprovecha dos exploits de puerta trasera conocidos para administrar dos niveles de autenticación.
El primer código malicioso es el exploit del sistema operativo SmartScreen de Juniper Networks , desencadena el error CVE-2015-7755 para eludir la autenticación del firewall.
La puerta trasera codificada CVE-2015-7755 afecta el software ScreenOS de Juniper Networks que impulsa sus firewalls Netscreen.
"Esencialmente, se puede acceder a los demonios Telnet y SSH de los firewalls Netscreen utilizando la contraseña codificada
% s (un = '% s') =%u con cualquier nombre de usuario, independientemente de si es válido o no.Vimos su implementación en el ciclo de ataque inicial de DoubleDoor, ya que atacó a nuestros honeypots con el nombre de usuario " netscreen" y la contraseña de puerta trasera ", escribió Ankit Anubhav , investigador principal de NewSky Security.
Una vez que se ha logrado, el código malicioso utiliza el exploit de puerta trasera del módem Zyxel CVE-2016-10401 para tomar el control total sobre el dispositivo IoT.
El código es un exploit de escalada de privilegios, "y es por eso que los atacantes de DoubleDoor también realizaron un ataque basado en contraseñas para obtener una cuenta de privilegio básica como admin : CenturyL1nk antes de ir en busca del superusuario".
"Esta vez fue CVE-2016-10401, una puerta trasera para dispositivos ZyXEL PK5001Z. Esta puerta trasera también es directa, con una contraseña de contraseña codificada como zyad5001 . "Continúa el experto.
Los expertos destacaron que, a diferencia de otros botnets IoT como Satori o Masuta, el botnet DoubleDoor no utiliza una cadena única en la fase de reconocimiento.
“Después de que los actores de amenazas han llevado a cabo el ataque, que quieren una confirmación de si tenían éxito de obtener el control del dispositivo IO. Para esto, intentan invocar el shell con comandos no válidos. Si el atacante ha tenido éxito, mostrará "{string}: applet no encontrado" donde {string} es el comando no válido. "Observó la investigación.
"DoubleDoor botnet se encarga de esto, mediante el uso de una cadena aleatoria en cada ataque"
La botnet DoubleDoor parece estar en una etapa inicial, la mayoría de los ataques provienen de IPs de Corea del Sur.
El botnet incluye el código para apuntar a un número limitado de dispositivos, solo tendrá éxito si la víctima tiene una versión específica sin parche del firewall Juniper ScreenOS que protege los módems Zyxel sin parchear.
Fecha actualización el 2021-02-14. Fecha publicación el 2018-02-14. Categoría: botnet. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs"La doble capa de protección IoT es más común en entornos corporativos, que no dependen de la autenticación IoT incorporada y desean protegerla con otra capa de firewall. Aunque estos dispositivos corporativos pueden ser menos numerosos, obtener el control de los enrutadores del entorno corporativo puede ser más valioso para un atacante, ya que puede conducir a ataques de IoT dirigidos ", concluyeron los expertos.
