Vulnerabilidad del router Huawei utilizada para difundir la variante Mirai

Vulnerabilidad del router Huawei utilizada para difundir la variante Mirai
Vulnerabilidad del router Huawei utilizada para difundir la variante Mirai
Califica Este Post

Los investigadores han identificado una vulnerabilidad en un modelo de enrutador doméstico Huawei que está siendo explotado por un adversario para difundir una variante del malware Mirai llamado Okiku, también conocido como Satori.

Investigadores de Check Point publicaron un informe el jueves, y dijeron que la falla está en el router de Huawei modelo HG532. Dijo que está rastreando cientos de miles de intentos de explotar la vulnerabilidad en la naturaleza.

Okiku/Satori fue identificado por primera vez por los investigadores de Check Point el 23 de noviembre. Antes del descubrimiento, los investigadores afirmaron que habían observado una oleada de ataques en todo el mundo contra los dispositivos HG532 de Huawei, y que Estados Unidos, Italia, Alemania y Egipto fueron los más afectados.

Tan pronto como se confirmaron los hallazgos, la vulnerabilidad fue discretamente revelada a Huawei para mitigar su propagación “, dijeron los investigadores.

El viernes, Huawei emitió un aviso de seguridad actualizado a los clientes advirtiendo de la vulnerabilidad (CVE-2017-17215). Le dijo a los clientes que la falla permite a un adversario remoto enviar paquetes maliciosos al puerto 37215 para ejecutar código remoto en routers vulnerables.

La red de bots Mirai apareció en los titulares en octubre de 2016, con ataques DDoS masivos contra el proveedor de DNS Dyn y el sitio web de Krebs on Security. El malware Mirai original aprovechó las fallas encontradas en el hardware de CCTV y DVR que permitían utilizar una credencial telnet Linux predeterminada.

Desde que el código fuente Mirai se hizo público, muchos hackers han modificado el código y ampliado el número de dispositivos de Internet of Things comprometidos. La mayoría se han aprovechado de protecciones poco fiables alrededor de dispositivos conectados y sistemas embebidos.

En el caso de Okiku/Satori, los investigadores de Check Point sospecharon que un hacker inexperto que pasa por “Nexus Zeta” está detrás de los ataques.

La identidad del atacante era inicialmente un misterio, con especulaciones que iban desde perpetradores avanzados de estados-nación hasta bandas de amenazas notorias “, dijeron los investigadores.

Eventualmente, llegamos a nuestro principal sospechoso, un actor de amenazas bajo el apodo’ Nexus Zeta’, quien fue encontrado gracias a la dirección de correo electrónico utilizada para registrar un dominio C&C perteneciente a la botnet – nexusiotsolutions[.red “, dijeron.

A continuación, los investigadores cruzaron referencias a la dirección de correo electrónico utilizada para el registro del dominio con una dirección de correo electrónico utilizada en el popular foro de piratas informáticos llamado HackForums.

Aunque rara vez participa activamente en estos foros, los pocos mensajes que publica revelan a un actor aficionado, aunque su enfoque más reciente fue una iniciativa para establecer una red de bots tipo Mirai,”dijeron los investigadores.

Uno de los postes de Nexus Zeta antes de los ataques Huawei fue:

Hola, estoy buscando a alguien que me ayude a compilar la botnet mirai, escuché que todo lo que tienes que hacer es compilarla y tienes acceso a 1 terabit por segundo, así que por favor ayúdame a configurar una botnet tel-net mirai”.

Los ataques Okiku/Satori difieren de las variantes Mirai anteriores en que no se basan en ataques basados en telnet de fuerza bruta. En su lugar, la nueva variante ejecuta ataques sobre el puerto 37215 explotando la vulnerabilidad CVE-2017-17215 desconocida anteriormente en los dispositivos HG532 de Huawei.

El ataque involucra una inyección de comando, donde la carga maliciosa es descargada y ejecutada en el router Huawei, dijeron los investigadores.

La falla está ligada al uso del router del protocolo Universal Plug and Play (UPnP) y al estándar de informes técnicos TR-064. TR-064 es un estándar diseñado para facilitar la adición de dispositivos UPnP integrados a una red local.

Sin embargo, en este caso, la implementación del TR-064 en los dispositivos Huawei se expuso a la WAN a través del puerto 37215 (UPnP)”, escribieron los investigadores. El marco UPnP soporta un “DeviceUpgrade” que puede llevar a cabo una acción de actualización de firmware.

La vulnerabilidad permite a los administradores remotos ejecutar comandos arbitrarios inyectando metacaracteres de shell en el proceso DeviceUpgrade.

Una vez ejecutados, el exploit devuelve el mensaje predeterminado HUAWEIUPNP y se inicia la actualización “, escribieron los investigadores.

El propósito principal de la carga útil es instruir al bot a inundar los objetivos con paquetes UDP o TCP hechos a mano.

El número de paquetes utilizados para la acción de inundación y sus parámetros correspondientes se transmiten desde el servidor C&C. Además, el servidor de C&C puede pasar una IP individual para un ataque o una subred usando una dirección de subred y un número de bits valiosos “, dijeron los investigadores.

Según Huawei, la mitigación contra ataques incluye configurar el firewall incorporado en el router, cambiar la contraseña predeterminada o usar firewall en el lado del operador.

Check Point dijo que aún no está claro cómo la vulnerabilidad que descubrió encontró su camino a la posesión de Nexus Zeta.

Como se ha visto en este caso, así como en otros durante el año pasado, está claro que una combinación de código malicioso filtrado junto con una seguridad IoT deficiente y explotable, cuando es utilizada por piratas informáticos no cualificados, puede llevar a resultados desastrosos “, dijo Check Point.

Entradas Relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *