Routers Dasan y D-Link dirigidos por aparente botnet en una nueva ola de ataques de exploits
Una botnet aparente compuesta por más de 3.000 IP de origen distintos generó un gran y repentino aumento en los ataques de exploits el 19 de julio, apuntando a D-Link 2750B y ciertos enrutadores pequeños y de oficina en casa Dasan GPON (Gigabit Passive Optical Network).
La operación puede haber sido un intento de comprometer los enrutadores para que puedan aprovecharse para lanzar ataques distribuidos de denegación de servicio, distribuir contenido malicioso o espiar la actividad de navegación, sugiere el equipo de eSentire Threat Intelligence, que creó una publicación de blog y un aviso de amenaza correspondientes después de observar el incidente al monitorear a sus clientes.
Según se informa, los atacantes buscaron capitalizar un par de vulnerabilidades que colectivamente pueden resultar en la ejecución remota de código, y para las cuales solo hay un parche no oficial disponible. Las vulnerabilidades - CVE-2018-10561, un defecto de derivación de autenticación y CVE-2018 hasta 10.562, una inyección de comandos de errores - Se han descubierto y revelado públicamente en de mayo de 2018, y desde entonces han sido utilizados en diversas campañas . Dasan routers que usan firmware Zind-GPON-25xx, algunos routers serie GPON Dasan H650, y los routers D-Link DSL-2750B con el firmware 1.1 hasta 1.3 son propensos a las explotaciones.
"La coordinación de la botnet sugiere que una sola entidad controló las más de 3000 fuentes IP que desconectaron las firmas de exploits de enrutadores durante un lapso de diez horas", señala eSentire. La compañía de detección y respuesta gestionada también señala que un análisis de VirusTotal indica que el malware involucrado en la campaña tiene similitudes con la red de bots Mirai , sugiriendo que posiblemente haya sido el trabajo de la botnet Satori .
Como medida preventiva, eSentire recomienda deshabilitar el acceso remoto y el plug-and-play universal en enrutadores vulnerables, y cambiar las credenciales de inicio de sesión predeterminadas.
En otras noticias de Internet of Things, la empresa de seguridad IoT Armis ha informado en una nueva publicación de blog que se estima que 496 millones de dispositivos en el lugar de trabajo son vulnerables a ataques DNS de reconstrucción de hace una década. Para ejecutar estos ataques, los actores ponen en peligro las páginas web para ejecutar un script del lado del cliente que les permite apropiarse de los navegadores web de las víctimas para interactuar con dispositivos de red vulnerables en la red local.
"Desde televisores inteligentes hasta impresoras, asistentes digitales, teléfonos IP y más, la exposición deja a las organizaciones vulnerables a compromisos, exfiltración de datos y dispositivos que son secuestrados para otro ataque tipo Mirai", advierte el informe, escrito por el vicepresidente de investigación Ben Seri. .
Según Armis, el 87 por ciento de los conmutadores, enrutadores y puntos de acceso (14 millones en total) son vulnerables a la reenlace del DNS. Y hay impresoras más vulnerables que cualquier otro dispositivo de categoría: 165 millones en total, o el 66 por ciento de todas las impresoras. Otros equipos susceptibles incluyen reproductores multimedia y altavoces de transmisión (78% de ellos, o 5,1 millones), teléfonos IP (77% de ellos, o 124 millones), cámaras IP (75% de ellos, o 160 millones) y televisores inteligentes (57 por ciento de ellos, o 28.1 millones).
"Debido al uso generalizado de los tipos de dispositivos enumerados anteriormente dentro de las empresas, Armis puede decir que casi todas las empresas son susceptibles a ataques de reenlace del DNS", afirma Seri.
TRADUCIDO POR: @CRYPTORAMBO
INFORMACIÓN FUENTE: https://goo.gl/o56eyv