Código de exploit es usado para esparcir una variante de Mirai
Investigadores de Qihoo 360 Netlab reportaron el pasado viernes que realizan un seguimiento en un alza en actividad de botnets relacionada con una variante de Mirai. El objetivo son los puertos 23 y 2323 en dispositivos conectados a Internet hechos por ZyXEL Communications que usen las credenciales por defecto para Telnet admin/CentryL1nk y admin/QwestM0dem.
“Aproximadamente hace 60 horas, desde el 22 de noviembre a las 11:00, notamos un incremento de escaneos a los puertos 23 y 2323, con alrededor de 100,000 direcciones IP provenientes de Argentina”, escribieron los investigadores en una publicación el viernes. “Tras la investigación, tenemos la certeza de que se trata de una nueva variante de Mirai”.
En octubre del 2016, Mirai se esparció a sí mismo en dispositivos IoT obteniendo acceso a través de contraseñas y usuarios por defecto. El malware unía entonces los dispositivos afectados a una botnet y realizaba ataques de denegación de servicio distribuida. El más grande de estos ataques inundó al proveedor de DNS Dyn causando que muchos sitios conocidos como Twitter, Spotify y Netflix fueran inaccesibles por horas.
Netlab dijo que esta nueva variante de Mirai prueba activamente dos nuevas credenciales admin/CentryL1nk y admin/QwestM0dem identificadas en una base de datos de exploits el mes pasado.
Los investigadores dijeron que los creadores del malware han automatizado el proceso de autenticación a dispositivos ZyXEL usando las credenciales de Telnet y lo acoplaron a una vulnerabilidad que da permisos de superusuario (CVE-2016-10401) para obtener privilegios de administrador en los dispositivos.
“Los dispositivos ZyXEL PK5001Z tienen a zyad5001 como superusuario, lo cual facilita a atacantes remotos obtener acceso como administrador si una cuenta no administrativa es conocida”, de acuerdo a la descripción en el CVE de la vulnerabilidad.
Hablando sobre la publicación con Bleeping Computer, los investigadores de Netlab dijeron que hubo un alza en atacantes consultando estos detalles del exploit expuestos públicamente desde que fueron revelados en octubre.
“La prueba de concepto publicada el mes pasado automatiza el proceso de acceso a dispositivos remotos ZyXEL usando una de las dos contraseñas de Telnet, usando después la contraseña por defecto del administrador para obtener privilegios”, dijeron los investigadores al sitio Bleeping Computer.
De acuerdo con investigadores de Qihoo 360 el abuso de estas dos credenciales comenzó el 22 de noviembre, alcanzando la cúspide la mañana siguiente. Los investigadores dijeron que la mayoría de las IP que originaron el trafico de los escaneos provenían de Argentina con alrededor de 65,700 escaneos únicos en menos de un día y 100,000 en jueves y viernes.
“Aun un año del lanzamiento original, las infecciones de la botnet Mirai aún son ampliamente distribuidas, lo cual es un indicador problemático sobre prácticas pobres de seguridad en las industrias”, dijo SecurityScorecard en un reporte lanzado este otoño. “SecurityScorecard identificó 184,258 direcciones IPv4 de dispositivos infectados con Mirai desde agosto del 2016 hasta finales de julio de 2017”.
No es la primera vez que investigadores, o atacantes para este caso, consiguen romper la seguridad de equipos fabricados por ZyXEL.
En junio, Stefan Viehböck, un investigador en SEC Consult Vulnerability Lab, descubrió que enrutadores WiMAX construidos por ZyXEL eran vulnerables a evasión de autenticación lo cual podría permitir a un atacante cambiar la contraseña de administrador, obtener acceso al dispositivo o a la red tras de él.
En enero, el investigador Pedro Ribeiro de Agile Information Security encontró cuentas de administración accesibles y vulnerabilidades de inyección de código en routers ZyXEL distribuidos por TrueOnline, la compañía mas grande de banda ancha en Tailandia.
“Esto nos hace preguntarnos si el enfoque son dispositivos IoT específicos, y estos dispositivos están ampliamente distribuidos en Argentina, justo como sucedió en el evento de Telekom el año pasado”, escribieron investigadores de Netlab el viernes pasado.