Una nueva variante de Mirai justo antes de Navidad? Por supuesto, Por qué no!
Qihoo 360 los investigadores sólo NETlab presenciado nuevo repunte mientras que la actividad de seguimiento botnet asociado con una nueva variante de la conocida-malware Mirai IO. Los usuarios deben ser conscientes de que los puertos 23 y 2323 la IO a dispositivos fabricados por ZyXEL Comunicaciones están dirigidos. Los dispositivos se sabe que están utilizando por defecto admin / CentryL1nk y admin credenciales Telnet / Qwestm0dem, los investigadores informaron.
Acerca de 60 horas atras, ya que 2017-11-22 11:00, notamos grandes repuntes en el puerto 2323 y 23 el tráfico de exploración, con casi 100 mil IP escáner único vino de Argentina. después de la investigación, estamos bastante seguros de contar esta es una nueva variante de Mirai.
El equipo de investigación observó dos nuevas credenciales – admin / CentryL1nk y admin / QwestM0dem - en su tráfico honeypot. Al parecer,, los dos puertos se utilizan actualmente de manera activa. Cabe señalar que el administrador de credenciales / CentryL1nk se apareció por primera vez en una explotación sobre ZyXEL PK5001Z módem en explotar-db hace menos de un mes.
Mirai surgió el año pasado cuando empezó a expandirse y que afectan a los dispositivos IO acceder a ellos a través de los nombres de usuario y contraseña por defecto. dispositivos afectados fueron incluidos en una red de bots que se desplegó para ataques de denegación de servicio (DDoS). proveedor de DNS Dyn fue una de las víctimas más grandes que conducen a los ataques a las plataformas populares como Twitter y Netflix.
En febrero de este año la botnet fue equipado incluso con una variante de Windows, Trojan.Mirai.1, según lo revelado por los investigadores de seguridad al doctor. Web. La nueva variante dirigido Windows y podría comprometer más puertos que su homólogo Linux. Trojan.Mirai.1 también estaba infectando dispositivos IO y llevar a cabo ataques DDoS, Al igual que con la versión Linux.
Como se ha mencionado ya, ataques actuales se están aprovechando de dos nuevas credenciales (admin / CentryL1nk y admin / QwestM0dem). Al parecer,, hackers automatizados con éxito el proceso de registro en dispositivos ZyXEL través de credenciales telnet. Una vulnerabilidad de superusuario duro codificado separada identificada como CVE-2016 a 10.401 también fue aprovechada para obtener privilegios de root en los dispositivos de destino.
Los detalles sobre CVE-2016-10401
dispositivos ZyXEL PK5001Z han zyad5001 como la contraseña de su, lo que hace que sea más fácil para los atacantes remotos obtener acceso root si se conoce una contraseña de cuenta no root (o existe una cuenta predeterminada no root dentro de despliegue de estos dispositivos de un ISP).
Los investigadores han estado observando una tendencia problemática que implica atacantes que explotan activamente a conocer públicamente detalles de esta hazaña desde que fue lanzado por primera vez en octubre.
Qihoo 360 los investigadores informaron que la explotación de las dos credenciales mencionó anteriormente comenzó de noviembre 22. El equipo detectó que la mayoría del tráfico IP escáner vinieron de Argentina con aproximadamente 65.7 miles de escáneres únicos en menos de un día.
Esta no es la primera vez que el engranaje ZyXEL es comprometida
Hace varios meses, investigador Stefan Viehböck informó que los routers WiMAX creados por ZyXEL eran susceptibles a una omisión de autenticación que podría permitir a un agente malicioso para cambiar la contraseña del usuario admin, obtener acceso al dispositivo de destino o incluso la propia red.
Otro investigador, Pedro Ribeiro, se encontró con las cuentas de administrador de acceso y errores de inyección de comandos en los routers fabricados por ZyXEL y distribuido por TrueOnline, o la compañía de banda ancha más grande de Tailandia.
Cómo proteger sus dispositivos IO – algunos consejos útiles
Existen varias pautas que todos los propietarios de dispositivos IO deben seguir para proteger sus redes y hosts de las intrusiones maliciosas y otras amenazas de seguridad. Estas medidas no requieren grandes cantidades de tiempo que se pone a menudo como una razón para no emplear todas las medidas. Dependiendo del entorno pueden existir algunas diferencias en la magnitud de los cambios de configuración. No obstante, le estamos dando los consejos más generales que debería proporcionar una seguridad adecuada contra la mayoría de las amenazas.
- Minimizar la exposición de Crítico Red - Esto es en realidad una de las formas más sencillas para minimizar los ataques de piratas informáticos. Esta es también una de las medidas más fáciles que los propietarios de dispositivos pueden implementar. Esta política exige que todas las características y servicios no utilizados que el usuario no utiliza debe estar apagado. Si el dispositivo es un uno no crítica (importantes servicios no dependen de él) También se puede apagar cuando no esté en uso. Una buena configuración de servidor de seguridad que impide el acceso de administrador de redes externas puede proteger contra ataques de fuerza bruta. Los dispositivos que cumplen funciones importantes se pueden segmentar en otra zona de la obra principal o la red doméstica.
- Un exhaustivo programa de instalación - Muchos ataques de intrusión se realizan mediante el uso de dos métodos populares - la fuerza bruta y ataques de diccionario. Ellos actúan en contra de los mecanismos de autenticación de los aparatos. Los administradores del sistema pueden hacer cumplir una política de contraseñas fuertes y las medidas que defenderse de los ataques de fuerza bruta mediante la adición de sistemas de detección de intrusos. El uso de protocolos seguros es también una buena idea - VPN y SSH con una configuración de seguridad adecuada.
- Actualizaciones de seguridad - No proporcionar actualizaciones de seguridad para los aparatos propiedad es probablemente uno de los mayores problemas que conducen a ataques de intrusión. Es importante llevar a cabo actualizaciones regulares, Haz click para aprender mas.
- Implementar medidas de seguridad adicionales - Cuando los dispositivos IO se utilizan en un entorno corporativo o de producción que hay varias maneras de fortalecer la seguridad. Estos incluyen pruebas de penetración, métodos de gestión de red proactiva y análisis.
Bien explicado. Gracias por señalar CVE-2016 a 10401. Muy útil para mi tesis. Hola desde Rusia :)
Alegro de que estemos de ayuda!