Mirai Botnet ahora está apuntando a una falla en la implementación BIG-IP, conduciendo a la producción del aviso CVE-2020-5902. Esta vulnerabilidad de seguridad se identificó en la primera semana de julio. 2020 y ha sido identificado como un error crítico.
Implementación BIG-IP defectuosa: CVE-2020-5902 Aviso emitido: Dirigido por la botnet Mirai
La botnet Mirai se está utilizando activamente para entrometerse en los dispositivos de red y los hosts que se han identificado para caer en el Vulnerabilidad CVE-2020-5902. Este es un aviso reciente que está siendo rastreado por la comunidad de seguridad y posteriormente ha sido implementado por piratas informáticos en la botnet de Mirai. La divulgación inicial sobre el problema se publicó en la primera semana de julio de este año; esto ha llevado a los ingenieros de red y administradores de seguridad a auditar sus sistemas y ver si son vulnerables.
El aviso publicado ha permitido a los piratas informáticos obtener conocimiento sobre el problema e incluir el código de explotación relevante en el módulo de infiltración de la botnet Mirai. Además, la falla se agregó a la Motor de búsqueda Shodan que permite a cualquier persona buscar redes vulnerables y hosts de red expuestos.
Por diseño, el error se clasifica como un ejecución remota de código falla que se encuentra en la implementación de red BIG-IP. La debilidad es parte de la interfaz de administración de la suite: aparentemente una regla de mitigación en el archivo de configuración del servidor web Apache permite a los atacantes remotos explotar el servicio. Esto se hace insertando un solicitud de punto y coma a través de la URL: el servidor web interpretará esto como un comando terminado alternar. Todo esto significa que mediante el uso de una simple manipulación de URL, los hackers pueden emitir comandos al host remoto.
Es relativamente sencillo crear un código de prueba de concepto que funcione en lenguajes de programación populares; esto permite a los usuarios de malware enviar fácilmente solicitudes de sondeo de red a redes potencialmente vulnerables. Después de un escaneo de red, los hosts afectados también se pueden descubrir. Se han confirmado computadoras y dispositivos de red afectados por la botnet Mirai. Esto muestra que los piratas informáticos han tenido éxito en sus ataques: tan pronto como se identificó la falla, se explotaron rápidamente las redes objetivo.
Una investigación de seguridad revela cómo se ha comportado la Botnet Mirai en tales sistemas. La botnet se usó para explotar los sistemas y desde allí se inició la siguiente secuencia:
- Después de la intrusión, la botnet Mirai creará archivos creados por piratas informáticos en los sistemas comprometidos.
- Se puede ordenar que estos archivos se ejecuten en las redes host y, según su configuración, pueden iniciar ataques de fuerza bruta contra los servicios de trabajo o abusar de otros defectos.
- En la mayoría de los casos, los archivos pueden iniciar una función de cuentagotas de carga útil que descargará otro malware al dispositivo.
- En casi todos los casos, los delincuentes pueden controlar su control a los hosts comprometidos utilizando un motor local que se conectará a un servidor controlado por piratas informáticos.
Como hay muchos dispositivos infectados, se recomienda a los propietarios de dispositivos de red que aplicar los últimos parches de seguridad y actualizaciones de firmware para proteger sus sistemas. La prevención de acceso a servicios sensibles desde Internet se puede realizar mediante la implementación de Los servicios VPN. Como siempre, se recomienda monitorear el estado de seguridad en todo momento.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: