Hay primeros indicios de ataques activos dirigidos a cajas Zyxel NAS al final de su vida útil apenas unas semanas después de que se hicieran públicos los detalles de tres vulnerabilidades críticas. La Fundación Shadowserver, una organización de seguridad de Internet asociada con muchas de las principales agencias y proveedores de seguridad del mundo, dijo que sus escáneres comenzaron a emitir pitidos el viernes mientras continúa monitoreando CVE-2024-29973. Observó múltiples intentos de ejecución remota de comandos «por parte de una botnet similar a Mirai» y aconsejó a los propietarios de los dispositivos NAS Zyxel afectados que buscaran activamente signos de compromiso, especialmente si los parches no se aplicaban inmediatamente. También podría ser una buena idea simplemente extraer y reemplazar el kit si aún se está ejecutando, dado que es bastante poco común que los proveedores publiquen actualizaciones de seguridad para dispositivos que ya han llegado al final de su soporte. Shadowserver nos dijo que la botnet basada en Mirai comparte características con su famoso ancestro de Linux, sin tener «exactamente la misma base de código que el original». Sabemos que Mirai volvió a funcionar el año pasado y los investigadores en ese momento dijeron que estaba reforzado con un «arsenal de exploits agresivamente actualizado», que incluía aquellos para dispositivos D-Link y, sí, Zyxel. CVE-2024-29973 es uno de los tres errores críticos corregidos a principios de junio, todos los cuales recibieron una calificación de gravedad casi máxima de 9,8. Es una falla de inyección de comandos que afecta a los dispositivos Zyxel NAS326 y NAS542 y que podría ser explotada por atacantes no autenticados. Shadowserver no mencionó nada de los otros dos (CVE-2024-29972 y CVE-2024-29974) en su actualización del viernes. El primero es otro error de inyección de comandos y el segundo un error de ejecución remota de código. Las vulnerabilidades fueron descubiertas por un pasante de Outpost24 y reportadas a Zyxel, con sede en Taiwán, en marzo. Tanto Timothy Hjort, el investigador, como Zyxel revelaron los errores el 4 de junio, y Hjort también proporcionó un código de explotación de prueba de concepto (PoC) en su artículo, lo que significa que probablemente era inevitable que este tipo de ataques comenzaran a surgir. Los dispositivos NAS son objetivos principales de los ciberataques, que normalmente implican ransomware. Las cajas de QNAP se han visto especialmente afectadas, y las variantes Qlocker y DeadBolt en 2021 y 2022 atrajeron mucha atención. Sin embargo, no es sólo el ransomware lo que amenaza a los dispositivos NAS en general. Como dijeron Stephen Hilt y Fernando Mercês de Trend Micro en 2022, los criptomineros y operadores de botnets vieron oportunidades en el Internet de las cosas hace mucho tiempo. «Las infecciones y ataques de botnets han proliferado en los dispositivos de IoT desde 2016, principalmente debido a la capacidad de las botnets para propagar infecciones a tantos hosts como sea posible, todo con el fin de ayudar a los ciberdelincuentes a lograr sus múltiples objetivos, como lanzar sistemas de denegación de acceso distribuidos. ataques de servicio (DDoS)», escribieron. «Los dispositivos NAS son objetivos ideales debido a las mínimas defensas de seguridad y protección instaladas en ellos, que no son suficientes una vez que los atacantes han comprometido uno. Además, incluso tipos de malware e infecciones más antiguos pueden permanecer sin ser detectados en estos dispositivos IoT durante años debido a la falta de parches. , aumentando aún más los riesgos para los usuarios de NAS debido a la cantidad de posibles usos ilícitos además de DDoS, como el robo de información y las redes proxy». Los propietarios de dispositivos Zyxel NAS326 afectados deben instalar el parche V5.21(AAZF.17)C0 lo antes posible si aún no lo han hecho, y el V5.21(ABAG.14)C0 se aplica al Zyxel NAS542. O simplemente actualice el kit cuando sea posible para obtener la seguridad más actualizada. ®