Piratas informáticos maliciosos están explotando una vulnerabilidad crítica en una cámara de seguridad ampliamente utilizada para propagar Mirai, una familia de malware que introduce dispositivos infectados de Internet de las cosas en grandes redes para su uso en ataques que destruyen sitios web y otros dispositivos conectados a Internet.
Los ataques tienen como objetivo el AVM1203, un dispositivo de vigilancia del fabricante taiwanés AVTECH, el proveedor de seguridad de red Akamai dijo el miércolesDesde marzo, unos atacantes desconocidos han estado explotando una vulnerabilidad de hace 5 años. La vulnerabilidad de día cero, identificada como CVE-2024-7029, es fácil de explotar y permite a los atacantes ejecutar código malicioso. El AVM1203 ya no se vende ni recibe soporte, por lo que no hay actualizaciones disponibles para solucionar el problema crítico de día cero.
Aquella vez en que un ejército heterogéneo sacudió Internet
Akamai dijo que los atacantes están explotando la vulnerabilidad para poder instalar una variante de Mirai, que llegó en septiembre de 2016 cuando una red de bots de dispositivos infectados derribó el sitio de noticias de ciberseguridad Krebs on Security. Mirai contenía una funcionalidad que permitía a un ejército heterogéneo de cámaras web, enrutadores y otros tipos de dispositivos IoT comprometidos lanzar ataques distribuidos de denegación de servicio de tamaños récord. En las semanas siguientes, la red de bots Mirai lanzó ataques similares contra proveedores de servicios de Internet y otros objetivos. Uno de esos ataques, contra el proveedor de nombres de dominio dinámicos Dyn, paralizó vastas franjas de Internet. Para complicar los intentos de contener a Mirai, sus creadores lanzaron el malware al público, una medida que permitió que prácticamente cualquier persona creara sus propias redes de bots que lanzaban ataques DDoS de un tamaño antes inimaginable.
Kyle Lefton, investigador de seguridad del equipo de inteligencia y respuesta de seguridad de Akamai, dijo en un correo electrónico que ha observado que el actor de amenazas detrás de los ataques realiza ataques DDoS contra “varias organizaciones”, que no nombró ni describió con más detalle. Hasta ahora, el equipo no ha visto ninguna indicación de que los actores de amenazas estén monitoreando transmisiones de video o usando las cámaras infectadas para otros fines.
Akamai detectó la actividad utilizando un “honeypot” de dispositivos que imitan las cámaras de Internet abierta para observar cualquier ataque que los tenga como objetivo. La técnica no permite a los investigadores medir el tamaño de la botnet. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos prevenido de la vulnerabilidad a principios de este mes.
Sin embargo, la técnica ha permitido a Akamai capturar el código utilizado para comprometer los dispositivos. Se centra en una vulnerabilidad que se conoce desde al menos 2019, cuando código de explotación El día cero se encuentra en el “argumento de brillo en el parámetro ‘action=’” y permite la inyección de comandos, escribieron los investigadores. El día cero, descubierto por la investigadora de Akamai Aline Eliovich, no fue reconocido formalmente hasta este mes, con la publicación de CVE-2024-7029.
La publicación del miércoles continuaba diciendo:
¿Cómo funciona?
Esta vulnerabilidad se descubrió originalmente al examinar los registros de nuestro honeypot. La figura 1 muestra la URL decodificada para mayor claridad. Carga útil decodificada
Agrandar/ Fig. 1: Cuerpo de la carga útil decodificada de los intentos de explotación
Akamai
Fig. 1: Cuerpo de la carga útil decodificada de los intentos de explotación
La vulnerabilidad radica en la función de brillo dentro del archivo /cgi-bin/supervisor/Factory.cgi (Figura 2).
En los ejemplos de explotación que observamos, esencialmente lo que sucedió es esto: la explotación de esta vulnerabilidad permite a un atacante ejecutar código remoto en un sistema objetivo.
La figura 3 es un ejemplo de un actor de amenazas que aprovecha esta falla para descargar y ejecutar un archivo JavaScript para obtener y cargar su carga útil de malware principal. Al igual que muchas otras botnets, esta también está difundiendo una variante del malware Mirai a sus objetivos.
Agrandar/ Fig. 3: Cadenas del descargador de JavaScript
Akamai
En este caso, es probable que la botnet esté utilizando la variante Corona Mirai, a la que otros proveedores hicieron referencia ya en 2020 en relación con el virus COVID-19.
Tras su ejecución, el malware se conecta a una gran cantidad de hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena “Corona” en la consola de un host infectado (Figura 4).
Agrandar/ Fig. 4: Ejecución de malware mostrando salida en consola
Akamai
El análisis estático de las cadenas de las muestras de malware muestra que se apunta a la ruta /ctrlt/DeviceUpgrade_1 en un intento de explotar los dispositivos Huawei afectados por CVE-2017-17215. Las muestras tienen dos direcciones IP de comando y control codificadas, una de las cuales es parte del código de explotación CVE-2017-17215:
La botnet también atacó otras vulnerabilidades, entre ellas, Hadoop YARN RCE, CVE-2014-8361 y CVE-2017-17215. Hemos observado que estas vulnerabilidades se han explotado en la red varias veces y siguen teniendo éxito.
Dado que este modelo de cámara ya no es compatible, la mejor medida para cualquier persona que utilice una es reemplazarla. Al igual que con todos los dispositivos conectados a Internet, los dispositivos IoT nunca deben ser accesibles con las credenciales predeterminadas que se envían con ellos.
