Los investigadores de seguridad de la red de bots BCMUPnP_Hunter que parece estar dirigida específicamente contra los dispositivos IO. Se dirige a una vulnerabilidad de cinco años de edad que parece ser dejado sin parchear por muchos dispositivos. Desde el lanzamiento es que desde entonces ha infectado a cerca de 100,000 dispositivos IO.
El Bcmupnp_Hunter Botnet muestra cómo sin parches fácilmente se puede recoger la IO Dispositivos
Un equipo de seguridad publicó un informe en el que los detalles en una nueva botnet llamada IO Bcmupnp_Hunter el cual utiliza un niño de cinco años exploit. Esto confirma una vez más que los usuarios y, en algunos casos los proveedores de dispositivos y fabricantes no liberan actualizaciones para corregir este tipo de problemas en el momento oportuno. Los primeros ataques se registraron en septiembre y se extendió rápidamente a los dispositivos en todo el mundo. Recordamos a nuestros lectores que el [wplinkpreview url =”https://sensorstechforum.com/botnet-activity-2018-increased-distribution-rats/”]actividad botnet en 2018 muestra que hay un aumento de la distribución de las ratas. Un cambio en la estrategia puede convertir esto en un dispositivo de distribución de software malicioso muy peligroso.
El error real a través de la cual se llevan a cabo las infecciones se descubrió en la espalda 2013 y es parte de las especificaciones de UPnP. Este protocolo se utiliza para configurar y acceder a los dispositivos de la IO desde la red interna. Parece que muchos vendedores han implementado la pila Broadcom SDK sin aplicar todos los parches más recientes que fijan los problemas conocidos. Como resultado los usuarios malintencionados pueden ejecutar código de forma remota sin ser autenticado a los dispositivos. Esto se clasifica como una vulnerabilidad crítica ya que permite a cualquier usuario malintencionado con acceso a la información sobre el tema SDK para obtener el control de los sistemas con sólo unos pocos comandos.
El mecanismo de funcionamiento es básico - una vez activado el botnet escaneará toda rangos de redes como cargado por los operadores de hackers. Se explorarán el número de puertos UPnP expuesta: 5431 para un servicio disponible. Si por ejemplo se detecta la vulnerabilidad se pondrá en marcha y utilizar el código de explotación de la red de bots adquirirá automáticamente el control del dispositivo de la víctima. Hasta ahora, la mayoría de las víctimas se encuentran en la India, EE.UU. y China.
El análisis de seguridad realizado en la red de bots Bcmupnp_Hunter muestra que esta amenaza en particular parece tener un mecanismo de infección complejo y de múltiples etapas. Se exhibe en el hecho de que no sólo los dispositivos están infectados, sino también que son reclutados inmediatamente en la red de bots. Los expertos también descubrieron una función secundaria - utilizar los dispositivos infectados como nodos de proxy y las conexiones de relé.
Se espera que la botnet seguirá nodos de reclutamiento, siempre y cuando hay dispositivos vulnerables. Son extremadamente útil cuando la orquestación de DDoS (ataques de denegación de servicio) contra objetivos gubernamentales o corporativos. Pueden ser alquilados a los piratas informáticos individuales o colectivos penales o utilizados por sus operadores para otros usos.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: