Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Varios programas maliciosos atacan las vulnerabilidades de Cacti y Realtek
11 de abril de 2023 - Equipo de RRPP de TuxCare
Expertos en ciberseguridad han detectado últimamente un aumento significativo de la actividad de las redes de bots que propagan malware y atacan dispositivos de red vulnerables. Estos asaltos transmiten el malware ShellBot y Moobot aprovechando fallos en dos herramientas de software: el SDK Jungle de Realtek y la herramienta de monitorización de gestión de fallos Cacti.
Las dos vulnerabilidades atacadas, CVE-2021-35394 y CVE-2022-46169, se consideran altamente críticas ya que permiten a los atacantes ejecutar código de forma remota. CVE-2022-46169 es un fallo que permite a los atacantes eludir la autenticación e inyectar comandos en los servidores Cacti, mientras que CVE-2021-35394 es una vulnerabilidad que permite inyectar comandos arbitrarios en el SDK Jungle de Realtek. Cabe mencionar que otros programas de redes de bots como Fodcha, RedGoBot, Mirai, Gafgyt y Mozi ya han explotado estas vulnerabilidades.
Según una investigación de Fortinet FortiGuard Labs, los ciberatacantes han estado aprovechando los fallos para difundir el malware ShellBot (también conocido como PerlBot) y MooBot. Aunque se ha utilizado anteriormente para difundir Mirai, Gafgyt, Mozi y RedGoBot, esta es la primera vez que se ha utilizado para distribuir MooBot, una versión de Mirai que ha estado activa desde 2019.
Moobot infecta hosts vulnerables explotando CVE-2022-46169 y CVE-2021-35394. Cuando Moobot infecta una máquina, descarga un script con su configuración y se conecta al servidor C2. Después, el virus transmite mensajes de latido hasta que recibe una orden, momento en el que lanza su ataque. La capacidad de Moobot para buscar y terminar procesos de otras redes de bots le permite optimizar los recursos de hardware del host comprometido y ejecutar ataques DDoS.
ShellBot, por su parte, se dedica principalmente a explotar la vulnerabilidad Cacti. Fortinet descubrió tres versiones distintas de ShellBot, lo que indica que se está desarrollando activamente. La versión inicial se conecta al servidor C2 y espera órdenes para realizar distintas operaciones, como escanear puertos, eliminar archivos y carpetas, transmitir información sobre versiones, descargar un archivo, iniciar ataques DDoS UDP o inyectar un shell inverso. La segunda versión tiene un conjunto más amplio de instrucciones, así como un módulo de actualización de exploits que extrae datos de avisos públicos y noticias de PacketStorm y milw0rm.
El informe de Fortinet no indica explícitamente si los mismos actores de amenazas propagaron Moobot y ShellBot. Aun así, se observaron cargas útiles que explotaban los mismos fallos en ráfagas de ataques solapados. La medida recomendada para defenderse de Mootbot y ShellBot es utilizar contraseñas de administrador seguras y aplicar las actualizaciones de seguridad que corrigen las vulnerabilidades mencionadas. Si su dispositivo ya no está soportado por su proveedor, debe ser reemplazado por un modelo más nuevo para recibir las actualizaciones de seguridad.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
