Un nuevo botnet rastreado como Death botnet ha aparecido en el panorama de amenazas y está reuniendo dispositivos AVTech sin parches con un viejo exploit
AVTech es uno de los fabricantes de CCTV líderes en el mundo, es la empresa más grande de la industria de vigilancia de Taiwán.
EliteLands está utilizando un exploit de 2 años de antigüedad que podría usarse para desencadenar decenas de vulnerabilidades bien conocidas en el firmware de AVTech. Muchos productos del proveedor actualmente ejecutan el firmware vulnerable, incluidos DVR, NVR y cámaras IP.
El experto en seguridad Ankit Anubhav, que descubrió el botnet Death, reveló que las versiones obsoletas del firmware exponen las contraseñas del dispositivo AVTech en texto claro. La falla podría ser explotada por un atacante no autenticado para agregar usuarios a los dispositivos existentes.
Ankit Anubhav comento que EliteLands está explotando los problemas para agregar nuevos usuarios a los dispositivos AVTech.
El experto explicó que el firmware anterior es vulnerable a una vulnerabilidad de inyección de comando para el campo de contraseña, esto significa que el atacante puede proporcionar un comando de shell en este campo para ejecutarlo y hacerse cargo de los dispositivos.
Entonces, si pongo el reinicio como contraseña, el sistema AVTech se reinicia", explicó Anubhav. "Por supuesto, el botnet Death está haciendo mucho más que simplemente reiniciar".
AVTech implementó actualizaciones de seguridad para la falla a principios de 2017, pero evidentemente muchos dispositivos siguen ejecutando firmware antiguo. Recientemente, otra botnet, la botnet Hide 'N Seek (HNS) , comenzó a aprovechar el mismo problema ((nuevo) AVTECH RCE ) para dirigirse a los dispositivos IoT.
A fines de junio, AVTech publicó una alerta de seguridad sobre los ataques que explotan la falla anterior.
Anubhav confirmó que EliteLands está recopilando dispositivos para su botnet Death apuntando a dispositivos expuestos con diferentes cargas útiles para el campo de contraseña.
La última versión de la carga útil utilizada por EliteLands es agregar cuentas con una vida útil de cinco minutos que ejecuta su carga y luego se elimina del dispositivo.
"Esto es como una cuenta de quemador", dijo Anubhav a Bleeping Computer. "Por lo general, las personas no crean nuevas cuentas de usuario con acceso de solo 5 minutos".
Anubhav ya ha identificado más de 1,200 dispositivos AVTech potencialmente en riesgo.
Anubhav contactó a EliteLands que confirmó que planea usar la botnet Death en ataques masivos.
"La red zombi de la Muerte no ha atacado nada importante todavía, pero sé que sí", dijo EliteLands. “El propósito botnet muerte fue originalmente sólo para DDoS pero tengo un plan mayor en él pronto. Realmente no lo uso para ataques solo para que los clientes tomen conciencia del poder que tiene ".
Fecha actualización el 2021-07-25. Fecha publicación el 2018-07-25. Categoría: botnet Autor: Oscar olg Mapa del sitio Fuente: securityaffairs