Nueva variante de Malware Mirai que utiliza 13 exploits diferentes para hackear enrutadores incluyendo D-Link, Linksys, GPON, Netgear, Huawei
Los investigadores descubrieron una nueva ola de Mirai Variant que utilizó 13 ataques diferentes para atacar varios modelos de enrutadores y otros dispositivos de red.
Estas vulnerabilidades están asociadas con esta nueva variante de Mirai capaz de lanzar ataques de denegación de servicio (DDoS) de puerta trasera y distribuidos.
El malware Mirai tiene registros sólidos de infectar mal los dispositivos IoT y realizar ataques DDOS en varias plataformas.
Mirai apunta a varios enrutadores diferentes, incluyendo D-Link, Linksys, GPON, Netgear, Huawei y otros dispositivos de red como ThinkPHP , múltiples proveedores de CCTV-DVR , UPnP , grabadoras de video digitales MVPower y grabadora de video en red de Vacron.
Esta es la primera vez que usamos los 13 exploits juntos en una sola campaña, incluyendo algunos de los exploits que se usaron en el ataque anterior.
Inicialmente, la nueva variante de Mirai se encuentra en el sistema de honeypot que implementó Trend Micro y busca dispositivos IoT para explotar varias vulnerabilidades que incluyen la ejecución remota de código (RCE).) Autenticación de bypass e inyección de comandos.
Según Trend Micro ”, mostró que este malware utilizaba diferentes medios de propagación y también reveló el uso de tres claves XOR para cifrar datos. Descifrar las cadenas de malware utilizando XOR reveló uno de los primeros indicadores relevantes de que el malware es una variante de Mirai ".
Variante Mirai Exploits
Los investigadores encontraron diferentes URL que están asociadas con la variante de Mirai, incluido el enlace de comando y control (C&C) y los enlaces de descarga y dropper.
El nuevo código de variante de Mirai revela más información sobre el proceso de infección, especialmente, las primeras 3 explotaciones que analizan las vulnerabilidades específicas en ThinkPHP, ciertas Huawei, Linksys enrutadores y también un escáner para otras 10 vulnerabilidades utilizadas en este ataque.
También realiza un ataque de fuerza bruta utilizando capacidades que utilizan varias credenciales comunes.
Las explotaciones asociadas a Mirai Variant aprovechan las diferentes vulnerabilidades que se encuentran en los enrutadores, productos de vigilancia y otros dispositivos
- Vacron NVR CVE Una vulnerabilidad de ejecución remota de código (RCE) para dispositivos grabadores de video en red (NVR) de Vacron
- CVE-2018-10561, CVE-2018-10562 La omisión de autenticación y las vulnerabilidades de inyección de comando, respectivamente, para los enrutadores de red óptica pasiva (GPON) gigabit de Dasan
- CVE-2015-2051 Vulnerabilidad de ejecución del comando SOAPAction-header del Protocolo de administración de red doméstica (HNAP) que funciona en ciertos dispositivos D-Link
- CCTV-DVR RCE Vulnerabilidades de RCE para múltiples proveedores de CCTV-DVR
- CVE-2014-8361 Vulnerabilidad de ejecución del comando SOAP (Protocolo simple de acceso a objetos) de Plug and Play (UPnP) que afecta a diferentes dispositivos utilizando el kit de desarrollo de software (SDK) de Realtek con el demonio miniigd
- Ejecución de comando UPnP SOAP TelnetD Ejecución del comando UPnP SOAP que explota vulnerabilidades en dispositivos D-Link
- Eir WAN inyección de comando remoto lateral Inyección de comando remoto en el lado de la red de área amplia (WAN) para los enrutadores inalámbricos Eir D1000 Omni
- Netgear Setup.cgi RCE RCE para dispositivos Netgear DGN1000 Omni
- CVE-2016-6277 Vulnerabilidad que puede permitir la ejecución de comandos arbitrarios remotos en dispositivos Netgear R7000 y R6400 Infección Omni
- Ejecución del comando de shell MVPower DVR Vulnerabilidad RCE no autenticada en grabadoras de video digital (DVR) MVPower Omni
- CVE-2017-17215 Vulnerabilidad de ejecución de comando arbitraria en los enrutadores Huawei HG532 Omni
- Linksys RCE Vulnerabilidad RCE en los enrutadores de la serie E de Linksys La luna
- ThinkPHP 5.0.23 / 5.1.31 RCE RCE para el marco de desarrollo web de código abierto ThinkPHP 5.0.23 / 5.1.31 Hakai
Entre las 13 vulnerabilidades, 11 ya se habían utilizado en la campaña de la variante Mirai anterior en 2018 y otras 2 vulnerabilidades son completamente nuevas que se pueden usar contra Linksys y ThinkPHP RCE.
El atacante detrás de esta nueva variante podría simplemente haber copiado el código de otros ataques, y con ello las vulnerabilidades que estos casos anteriores habían utilizado.
Se recomienda a los usuarios cambiar las credenciales predeterminadas en el enrutador para evitar los ataques basados en credenciales.
Fecha actualización el 2021-05-29. Fecha publicación el 2019-05-29. Categoría: Mirai Autor: Oscar olg Mapa del sitio Fuente: gwhackers Version movil