Mirai apunta a Apache Struts para atacar a las empresas

Expertos en seguridad de Unit 42 en Palo Alto Networks han descubierto nuevas variantes de las empresas de detección de malware Mirai y Gafgyt IoT.

Ambos botnets parecen muy interesantes por dos razones principales:

  • La nueva variante de Mirai apunta a la misma vulnerabilidad de Apache Struts explotada en la violación de datos de 2017 Equifax. La vulnerabilidad afecta la función de carga del analizador de partes múltiples de Yakarta en Apache y podría ser explotada por un atacante para realizar una solicitud creada con fines malintencionados a un servidor web Apache.
  • La nueva variante de Gafgyt se enfoca en una vulnerabilidad recientemente divulgada que afecta las versiones más antiguas y no compatibles del Sistema de Gestión Global (GMS) de SonicWall.

El hecho de que los códigos maliciosos bot se dirijan a Apache Struts y SonicWall podría indicar un cambio de objetivos de dispositivos de consumo a objetivos empresariales.

"Estos desarrollos sugieren que estas botnets de IOT se dirigen cada vez más a dispositivos empresariales con versiones obsoletas", se lee en el análisis publicado por Palo Alto Networks.

"Todas las organizaciones deben garantizar que no solo mantengan actualizados y actualizados sus sistemas , sino también sus dispositivos IoT".

En septiembre, los expertos detectaron muestras de Mirai que incluyen el código de explotación para 16 vulnerabilidades, por primera vez la vulnerabilidad de destino del malware en Apache Struts.

Las muestras están alojadas en un dominio que en agosto resolvió en una dirección IP diferente, agosto. En agosto, la misma dirección IP alojaba intermitentemente muestras de Gafgyt que incluían el código de explotación para activar la falla CVE-2018-9866 que afectaba a las versiones anteriores del Sistema de Gestión Global (GMS) de SonicWall.

El mismo dominio también se ha encontrado asociado con otras actividades de Mirai en el pasado .

"Durante parte del mes de agosto de 2018, ese mismo dominio se resolvió en una dirección IP diferente 185 [.] 10 [.] 68 [.] 127" continúa el análisis. "En ese momento descubrimos que las muestras de host de IP de Gafgyt que contenían un exploit para una vulnerabilidad de SonicWall divulgada recientemente ( CVE-2018-9866 ) afectaban a versiones anteriores no soportadas del Sistema de administración global de SonicWall (GMS) (8.1 y anteriores) que no están presentes en las versiones actualmente compatibles. "

Los expertos notaron que las nuevas muestras de Mirai no incluyen la funcionalidad de fuerza bruta de forma diferente a otras variantes, usan l [.] Ocalhost [.] Host: 47883 como C2 e implementan el mismo esquema de cifrado que Mirai con la clave 0xdeadf00d.

Las muestras de Gafgyt aparecieron por primera vez en la naturaleza el 5 de agosto, pocos días después de la publicación de un módulo Metasploit para el problema de SonicWall . Las muestras toman prestado el código de Gafgyt en lugar de Mirai.

"La incorporación de explotaciones dirigidas a Apache Struts y SonicWall mediante estas botnets IoT / Linux podría ser una indicación de un movimiento mayor desde los objetivos de los dispositivos de los consumidores a los objetivos empresariales." Concluye Palo Alto Networks.

Fecha actualización el 2021-09-11. Fecha publicación el 2018-09-11. Categoría: mirai Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
mirai