29 de agosto de 2024Ravie LakshmananSeguridad de IoT / Vulnerabilidad Un fallo de alta gravedad de hace años que afecta a las cámaras IP de AVTECH ha sido utilizado por actores maliciosos como un día cero para atraerlas a una botnet. CVE-2024-7029 (puntuación CVSS: 8,7), la vulnerabilidad en cuestión, es una «vulnerabilidad de inyección de comandos encontrada en la función de brillo de las cámaras de circuito cerrado de televisión (CCTV) de AVTECH que permite la ejecución remota de código (RCE)», dijeron los investigadores de Akamai Kyle Lefton, Larry Cashdollar y Aline Eliovich. Los detalles de la deficiencia de seguridad fueron hechos públicos por primera vez a principios de este mes por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), destacando su baja complejidad de ataque y la capacidad de explotarla de forma remota. «La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos como propietario del proceso en ejecución», señaló la agencia en una alerta publicada el 1 de agosto de 2024. Vale la pena señalar que el problema sigue sin parchearse. Afecta a los dispositivos de cámara AVM1203 que utilizan versiones de firmware hasta FullImg-1023-1007-1011-1009 inclusive. Los dispositivos, aunque descontinuados, todavía se utilizan en instalaciones comerciales, servicios financieros, atención médica y salud pública, sectores de sistemas de transporte, según CISA. Akamai dijo que la campaña de ataque ha estado en marcha desde marzo de 2024, aunque la vulnerabilidad ha tenido un exploit de prueba de concepto (PoC) público desde febrero de 2019. Sin embargo, no se emitió un identificador CVE hasta este mes. «Los actores maliciosos que operan estas botnets han estado utilizando vulnerabilidades nuevas o poco conocidas para proliferar malware», dijo la empresa de infraestructura web. «Hay muchas vulnerabilidades con exploits públicos o PoC disponibles que carecen de una asignación formal de CVE y, en algunos casos, los dispositivos permanecen sin parchear». Las cadenas de ataque son bastante sencillas, ya que aprovechan la falla de la cámara IP de AVTECH, junto con otras vulnerabilidades conocidas (CVE-2014-8361 y CVE-2017-17215), para propagar una variante de la botnet Mirai en los sistemas de destino. «En este caso, es probable que la botnet esté utilizando la variante Corona Mirai, a la que otros proveedores han hecho referencia ya en 2020 en relación con el virus COVID-19», dijeron los investigadores. «Al ejecutarse, el malware se conecta a una gran cantidad de hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena ‘Corona’ en la consola de un host infectado». El desarrollo se produce semanas después de que las empresas de ciberseguridad Sekoia y Team Cymru detallaran una botnet «misteriosa» llamada 7777 (o Quad7) que ha aprovechado los enrutadores TP-Link y ASUS comprometidos para realizar ataques de rociado de contraseñas contra cuentas de Microsoft 365. Se han identificado hasta 12.783 bots activos a fecha del 5 de agosto de 2024. «Esta botnet es conocida en código abierto por implementar proxies SOCKS5 en dispositivos comprometidos para retransmitir ataques de ‘fuerza bruta’ extremadamente lentos contra cuentas de Microsoft 365 de muchas entidades en todo el mundo», dijeron los investigadores de Sekoia, señalando que la mayoría de los enrutadores infectados se encuentran en Bulgaria, Rusia, Estados Unidos y Ucrania. Aunque la botnet recibe su nombre del hecho de que abre el puerto TCP 7777 en los dispositivos afectados, una investigación posterior del Team Cymru ha revelado una posible expansión para incluir un segundo conjunto de bots que se componen principalmente de enrutadores ASUS y se caracterizan por el puerto abierto 63256. «La botnet Quad7 sigue planteando una amenaza importante, demostrando tanto resistencia como adaptabilidad, incluso si su potencial es actualmente desconocido o inalcanzable», dijo el Team Cymru. «El vínculo entre las botnets 7777 y 63256, al tiempo que mantiene lo que parece ser un silo operativo distinto, subraya aún más las tácticas en evolución de los operadores de amenazas detrás de Quad7». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.