Una nueva botnet basada en Mirai explota vulnerabilidades en varios dispositivos, centrándose en NVR DigiEver DS-2105 Pro sin parches, firmware obsoleto en enrutadores TP-Link y enrutadores Teltonika RUT9XX. La campaña comenzó en octubre y la explotación activa se remonta a septiembre. Los investigadores de Akamai han confirmado ataques en curso, que aprovechan múltiples fallas de ejecución remota de código para incluir dispositivos en la botnet para actividades maliciosas.
La nueva botnet Mirai explota vulnerabilidades en varios dispositivos
La botnet apunta a una vulnerabilidad específica de ejecución remota de código (RCE) en los NVR DigiEver, que implica una validación de entrada incorrecta en el URI ‘/cgi-bin/cgi_main.cgi’. Los piratas informáticos pueden inyectar de forma remota comandos como ‘curl’ y ‘chmod’ a través de parámetros como el campo ntp en solicitudes HTTP POST. Ta-Lun Yen de TXOne anteriormente resaltado esta vulnerabilidad, señalando su impacto en varios dispositivos DVR durante una presentación en la conferencia de seguridad DefCamp.
Además del defecto de DigiEver, la variante Mirai también aprovecha CVE-2023-1389 en dispositivos TP-Link y CVE-2018-17532 en enrutadores Teltonika RUT9XX. Los investigadores han observado que, si bien Akamai ha observado directamente los ataques a los dispositivos DigiEver, reflejan métodos similares descritos anteriormente por Yen. La explotación de estos fallos apoya una campaña destinada a establecer un punto de apoyo en los dispositivos vulnerables.
¿Usando TP-Link? He aquí por qué EE. UU. puede prohibir su enrutador
Metodología y técnicas utilizadas por los atacantes.
Mediante la inyección de comandos, los atacantes pueden recuperar archivos binarios de malware alojados en servidores externos, lo que facilita la adición de dispositivos comprometidos a la botnet. Una vez bajo control, los dispositivos se pueden utilizar para lanzar ataques distribuidos de denegación de servicio (DDoS) o facilitar nuevos ataques contra otros objetivos. La persistencia dentro de los sistemas infectados se mantiene mediante la introducción de trabajos cron, que garantizan que el malware permanezca activo a pesar de posibles reinicios u otras interrupciones.
Los hallazgos de Akamai destacar que esta nueva variante de Mirai presenta métodos de cifrado avanzados, incluidos XOR y ChaCha20, lo que indica tácticas en evolución entre los operadores de botnets. A diferencia de muchas versiones anteriores de Mirai, que se basaban en la ofuscación básica de cadenas, esta variante muestra la intención de mejorar la evasión y la seguridad operativa. Se dirige a una amplia gama de arquitecturas, incluidas x86, ARM y MIPS, ampliando su impacto potencial en varios tipos de dispositivos.
Los investigadores de Akamai instan a los propietarios y administradores de dispositivos a adoptar medidas proactivas, incluido el monitoreo de indicadores de compromiso (IoC), que han puesto a disposición junto con las reglas de Yara para detectar y bloquear la amenaza emergente.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
