El malware Mirai es una poderosa variedad que compromete a varios dispositivos Linux y los utiliza para lanzar ataques masivos de denegación de servicio distribuidos
La nueva variante de malware se dirige a dispositivos integrados, como enrutadores, dispositivos de almacenamiento en red, NVR y cámaras IP, y utiliza numerosos ataques contra ellos.
Según los investigadores de la Unidad 42, el malware se dirige particularmente a los sistemas de presentación inalámbrica WePresent WiPG-1000 y en los televisores LG Supersign. Ambos dispositivos están destinados a ser utilizados por las empresas ".
La nueva versión del Mirai incluye múltiples nuevas vulnerabilidades junto con las anteriores, y también agrega nuevas credenciales para lanzar ataques de fuerza bruta en dispositivos específicos. El malware se dirige especialmente a dispositivos empresariales, donde obtienen enormes redes de robots con gran ancho de banda.
La nueva variante del malware Mirai contiene 27 exploits en total, 11 de ellos de la nueva versión del malware Mirai.
- CVE-2018-17173 Televisores LG Supersign
- WePresentCmdInjection WePresent WiPG-1000 sistemas de presentación inalámbricos
- DLink DCS-930L Ejecución remota de comandos Cámaras de vídeo en red DLink DCS-930L
- Ejecución del comando DLink diagnostic.php DLink DIR-645, DIR-815 Routers
- Ejecución remota del comando Zyxel P660HN Zyxel P660HN-T routers
- CVE-2016-1555 Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620 dispositivos
- CVE-2017-6077, CVE-2017-6334 Enrutadores de módem ADSL2 + inalámbricos Netgear DGN2200 N300
- Netgear Prosafe Remote Command Execution Netgear Prosafe WC9500, WC7600, WC7520 Controladores inalámbricos
Los investigadores de la Unidad 42 vieron que la nueva variante tenía otras características diferenciales:
- Utiliza el mismo esquema de cifrado que caracteriza a Mirai con una clave de tabla de 0xbeafdead.
- Al descifrar cadenas usando esta clave, encontramos ciertas credenciales predeterminadas inusuales para la fuerza bruta que no hemos encontrado hasta ahora:
- Administrador: huigu309
- raíz: huigu309
- ARTESANÍA: ALC # FGU
- raíz: videoflow
- Utiliza el dominio epicrustserver [.] Cf en el puerto 23823 es para la comunicación C2.
- Además de buscar otros dispositivos vulnerables, se puede ordenar a la nueva versión que envíe ataques DDoS HTTP Flood.
Posible soluciones para no ser afectados por esta nueva variante del Malware Mirai
- Deshabilitar las funciones y servicios que no son necesarios.
- Desactive el inicio de sesión de Telnet y utilice SSH cuando sea posible.
- Deshabilite Universal Plug and Play (UPnP) en los enrutadores a menos que sea absolutamente necesario.
- Realice una auditoría de los dispositivos de IoT utilizados en su red.
- Cambia las credenciales predeterminadas en los dispositivos. Use contraseñas seguras y únicas para cuentas de dispositivos y redes Wi-Fi.
- Use conexiones cableadas en lugar de inalámbricas, cuando sea posible.
- Compruebe regularmente el sitio web del fabricante para las actualizaciones de firmware.