Botnet

Código zero day en ruters Huawei abrieron la puerta a la nueva variante de la botnet Mirai

Daniel

3 min read
Código zero day en ruters Huawei abrieron la puerta a la nueva variante de la botnet Mirai

El código de explotación utilizado en la variante de malware Mirai llamada Satori, que se utilizó para atacar a cientos de miles de ruters Huawei en las últimas semanas, ahora es público. Los investigadores adviertieron que el código se convertiría rápidamente en una mercancía y se aprovecharía en ataques DDoS a través de botnets como Reaper o IOTrooper.

Ankit Anubhav, investigador de NewSky Security identificó por primera vez el código hace 2 semanas que se publicó públicamente en Pastebin.com. El código es la vulnerabilidad zero day CVE-2017-17215 utilizada por un pirata informático identificado como "Nexus Zeta" para propagar una variante del malware de Mirai llamado Satori, también conocido como Mirai Okiru.

"El hecho de que el código ahora esté abierto significa que lo estarán más personas para hacer el mal. Podemos suponer que el exploit se convertirá en commodity, y los botnets de IoT que intentan explotar un gran conjunto de vulnerabilidades agregarán CVE-2017-17215 a su arsenal", dijo Maya Horowitz, gerente del grupo de inteligencia de amenazas, Check Point.

La semana pasada , Check Point identificó la vulnerabilidad [CVE-2017-17215](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215] en un ruter de Huawei modelo HG532 que estaba siendo explotado por "Nexus Zeta" para difundir la variante de Mirai Mirai Okiru / Satori. Desde entonces, Huawei [emitió un aviso de seguridad actualizado a los clientes] (http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en) advirtiendo de que este fallo de seguridad permite que un usuario remoto envíe paquetes maliciosos al puerto 37215 para ejecutar código remoto en ruters vulnerables.

"Este código ahora es conocido por una gran variedad de Black Hacks. Al igual que los exploits SOAP anteriores lanzados de forma libre al público, serán utilizados por varios script kiddies y threat actors", dijo Anubhav. NewSky Security publicó un blog el jueves que describe su descubrimiento del código de día cero.

La causa subyacente fue un error relacionado con SOAP, un protocolo utilizado por muchos dispositivos IoT, dijo Anubhav. Los problemas anteriores en SOAP (CVE-2014-8361 y TR-064) afectaron a diferentes proveedores y fueron ampliamente utilizados por las variantes de Mirai.

En el caso de CVE-2017-17215, este día cero explota cómo utiliza el enrutador Huawei el protocolo Universal Plug and Play (UPnP) y el estándar de informe técnico TR-064. TR-064 es un estándar diseñado para facilitar la incorporación de dispositivos UPnP integrados a una red local.

"En este caso, sin embargo, la implementación TR-064 en los dispositivos Huawei se expuso a la WAN a través del puerto 37215 (UPnP)", escribieron los investigadores. El marco UPnP admite un "DeviceUpgrade" que puede llevar a cabo una acción de actualización de firmware.

La vulnerabilidad permite a los administradores remotos ejecutar comandos arbitrarios mediante la inyección de metacaracteres del shell en el proceso DeviceUpgrade.

"Después de que se hayan ejecutado, el exploit devuelve el mensaje predeterminado HUAWEIUPNP y se inicia la 'actualización'", escribieron los investigadores de Check Point.

El objetivo principal de la carga útil es instruir al robot para que inunde los objetivos con paquetes UDP o TCP elaborados manualmente.

"El código de explotación ya fue utilizado por dos botnets importantes de IoT, Brickerbot y Satori, y ahora que el código es público, se incorporará en diferentes variedades de botnets", dijo Anubhav.

La mitigación contra los ataques incluye configurar el firewall integrado de un ruter, cambiar la contraseña predeterminada o usar el firewall en el lado del operador, dijo Huawei.

"Tenga en cuenta que los usuarios de este ruter son en su mayoría usuarios domésticos, que normalmente no inician sesión en la interfaz de su ruter y no necesariamente tienen los conocimientos técnicos, por lo que tengo que suponer que la mayoría de los dispositivos permanecerán vulnerables", dijo Horowitz.

"Necesitamos desesperadamente que los fabricantes de dispositivos IoT hagan de la seguridad una prioridad y no dejen la responsabilidad en los usuarios".