ClickCease El malware Miral se dirige a servidores Linux y dispositivos IoT

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El malware Mirai se dirige a servidores Linux y dispositivos IoT

3 de marzo de 2023 - Equipo de RRPP de TuxCare

Investigadores de Unit 42 descubrieron "Mirai v3g4", una nueva variante de la red de bots Mirai que ataca 13 vulnerabilidades no parcheadas en dispositivos del Internet de las Cosas (IoT). Los fallos se han descubierto en diversos dispositivos, como routers, cámaras y dispositivos de almacenamiento conectados a la red (NAS), y podrían permitir a los hackers hacerse con su control y utilizarlos con fines maliciosos.

Se cree que decenas de miles de dispositivos, la mayoría en Estados Unidos y Europa, han sido infectados por la nueva botnet. Para atacar las vulnerabilidades, emplea una mezcla de exploits conocidos y nuevos, incluidos algunos conocidos desde hace varios años. Esto indica que muchos usuarios no están tomando precauciones básicas de seguridad, como actualizar sus dispositivos y cambiar las contraseñas por defecto.

Una vez que los dispositivos vulnerables han sido comprometidos por la variante conocida como V3G4, pueden ser controlados totalmente por los atacantes y convertirse en parte de una botnet capaz de llevar a cabo campañas adicionales como ataques DDoS.

"V3G4 hereda su característica más significativa de la variante Mirai original: una sección de datos con credenciales de inicio de sesión predeterminadas incrustadas para el escáner y fines de fuerza bruta", según los investigadores. "Al igual que el Mirai original, también cifra todas las credenciales con la clave XOR 0x37, dice la Unidad 42".

"Las vulnerabilidades tienen una menor complejidad de ataque que las variantes observadas anteriormente, pero mantienen un impacto de seguridad crítico que puede conducir a la ejecución remota de código", dijo la Unidad 42.

Mientras que la mayoría de las variantes de Mirai utilizan la misma clave para el cifrado de cadenas, la variante V3G4, según el investigador, utiliza diferentes claves de cifrado XOR para diferentes escenarios (XOR es una operación de lógica booleana utilizada frecuentemente en cifrado).

V3G4 viene con un conjunto de credenciales de inicio de sesión por defecto o débiles que utiliza para lanzar ataques de fuerza bruta a través de los protocolos de red Telnet y SSH y propagarse a otras máquinas. Después, se conecta al servidor C2 y espera órdenes para lanzar ataques DDoS contra objetivos, según la Unidad 42.

V3G4 aprovechó vulnerabilidades en la herramienta de gestión FreePBX para servidores de comunicaciones Asterisk (vulnerabilidad CVE-2012-4869); Atlassian Confluence (vulnerabilidad CVE-2022-26134); la herramienta de administración de sistemas Webmin (CVE-2019-15107); los ruters DrayTek Vigor (CVE-2020-8515 y CVE-2020-15415); y el sistema de gestión web C-Data (CVE-2022-4257).

Uno de los ejemplos más conocidos de ataques basados en IoT es la red de bots Mirai. Apareció por primera vez en 2016 y desde entonces ha sido responsable de una serie de ataques de gran repercusión, como el ciberataque a Dyn en 2016, que causó importantes interrupciones en sitios web. La red de bots funciona escaneando Internet en busca de dispositivos vulnerables y empleándolos después en ataques de denegación de servicio distribuidos (DDoS) u otras actividades maliciosas.

El descubrimiento de una nueva variante de Mirai pone de relieve la amenaza constante que suponen los ataques basados en el Internet de las Cosas. A medida que aumenta el número de dispositivos IoT, también lo hace el riesgo de que estos dispositivos se vean comprometidos por piratas informáticos. Para reducir este riesgo, los usuarios deben tomar precauciones básicas de seguridad, como actualizar sus dispositivos, utilizar contraseñas seguras y restringir el acceso a la red. Para detectar y responder a posibles ataques, también deberían considerar el uso de software de seguridad y herramientas de supervisión.

 

Las fuentes de este artículo incluyen un artículo en SCMagazine.

Resumen
El malware Miral se dirige a servidores Linux y dispositivos IoT
Nombre del artículo
El malware Miral se dirige a servidores Linux y dispositivos IoT
Descripción
Los investigadores han descubierto "Mirai v3g4", una nueva variante de la red de bots Mirai que apunta a 13 vulnerabilidades sin parches en dispositivos IoT.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín