lunes, 23 de marzo de 2020

Nueva versión de Mirai ataca dispositivos Zyxel


Los expertos de Palo Alto Networks han descubierto una nueva versión del malware Mirai, llamada Mukashi. Esta versión usa fuerza bruta y varias combinaciones de credenciales predeterminadas, y también penetra en los dispositivos de Zyxel para obtener control sobre ellos y luego usarlos para ataques DDoS.
Los investigadores explican que el malware Mukashi explota la vulnerabilidad CVE-2020-9054 recientemente encontrada y reparada, que afecta a varios modelos NAS de la compañía (ejecutando el firmware 5.21 y anteriores) y permite ejecutar código arbitrario de forma remota y sin autenticación en ellos. Permítame recordarle que en la escala de calificación de vulnerabilidad CSSV, el problema obtuvo 10 puntos de 10 posibles.
La raíz de este problema radica en el archivo weblogin.cgi, se produce un error debido a una limpieza incorrecta del parámetro de nombre de usuario. Es decir, si el nombre de usuario incluye ciertos caracteres, aparece una vulnerabilidad y se puede usar para inyectar comandos con privilegios de servidor web. Después de eso, un atacante puede usar la utilidad setuid para ejecutar comandos arbitrarios con privilegios de root.
Peor aún, resultó que la vulnerabilidad amenaza no solo al NAS de la compañía, como se informó originalmente, sino que también representa un peligro para 23 firewalls UTM, ATP y VPN con versiones de firmware de ZLD V4.35 Patch 0 a ZLD V4.35 Patch 2.
Según los expertos, Mukashi escanea la red en busca de dispositivos Zyxel vulnerables desde al menos el 12 de marzo de 2020. Además, al igual que otras variantes de Mirai, Mukashi explora Internet en busca de otros dispositivos IoT vulnerables (enrutadores, dispositivos NAS, cámaras y DRV) que están protegidos solo por la configuración predeterminada de fábrica o contraseñas simples y comunes.
Los indicadores de compromiso y los detalles técnicos se pueden encontrar en el blog de Palo Alto Networks.


No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes