Una botnet basada en Mirai ahora apunta a una vulnerabilidad crítica en el SDK de software utilizado por cientos de miles de dispositivos basados en Realtek, que abarca 200 modelos de al menos 65 proveedores, incluidos Asus, Belkin, D-Link, Netgear, Tenda, ZTE y Zyxel.
La falla de seguridad que encontraron los investigadores de seguridad de IoT Inspector ahora se rastrea como CVE-2021-35395 y se le asignó una calificación de gravedad de 9.8 / 10.
It impactos muchos dispositivos inalámbricos expuestas a Internet que van desde pasarelas residenciales y routers de viaje para los repetidores Wi-Fi, cámaras IP y gateways de rayos inteligentes o juguetes conectados.
Los ataques comenzaron solo dos días después de la divulgación pública
Dado que el error afecta la interfaz web de administración, los atacantes remotos pueden buscarlos e intentar piratearlos para ejecutar código arbitrario de forma remota en dispositivos no parcheados, lo que les permite hacerse cargo de los dispositivos afectados.
Si bien Realtek envió una versión parcheada del SDK vulnerable el 13 de agosto, tres días antes de que los investigadores de seguridad de IoT Inspector publicaran su aviso , esto dio muy poco tiempo a los propietarios de dispositivos vulnerables para aplicar el parche.
Como descubrió la empresa de seguridad de red SAM Seamless Network, una botnet Mirai comenzó a buscar dispositivos sin parchear contra CVE-2021-35395 el 18 de agosto, solo dos días después de que IoT Inspector compartiera los detalles del error.
"Hasta el 18 de agosto, hemos identificado intentos de explotar CVE-2021-35395 en la naturaleza", dijo SAM en un informe publicado la semana pasada.
SAM dice que los dispositivos más comunes que utilizan Realtek SDK con errores a los que apunta esta botnet son el extensor Netis E1 +, los enrutadores Wi-Fi Edimax N150 y N300 y el enrutador Repotec RP-WR5444, que se utilizan principalmente para mejorar la recepción Wi-Fi.
Botnet actualizado para apuntar a nuevos dispositivos
El actor de amenazas detrás de esta botnet basada en Mirai también actualizó sus escáneres hace más de dos semanas para explotar una vulnerabilidad de omisión de autenticación crítica (CVE-2021-20090) que afecta a millones de enrutadores domésticos que utilizan el firmware Arcadyan.
Como revelaron los investigadores de Juniper Threat Labs en ese momento, este actor de amenazas ha estado apuntando a la red y los dispositivos de IoT desde al menos febrero.
"Esta cadena de eventos muestra que los piratas informáticos están buscando activamente vulnerabilidades de inyección de comandos y las utilizan para propagar rápidamente malware ampliamente utilizado", dijo Omri Mallis, arquitecto jefe de productos de SAM Seamless Network.
"Este tipo de vulnerabilidades son fáciles de explotar y pueden integrarse rápidamente en los marcos de piratería existentes que emplean los atacantes, mucho antes de que se parcheen los dispositivos y los proveedores de seguridad puedan reaccionar".
La lista completa de dispositivos afectados es demasiado larga para incluirla aquí, pero se puede encontrar al final del informe del Inspector de IoT .
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios