Los delincuentes están explotando fallas críticas para acorralar los dispositivos de Internet de las cosas de dos fabricantes diferentes en botnets que lanzan ataques de denegación de servicio distribuidos, dijeron investigadores esta semana. Tanto los DVR de Lilin como los dispositivos de almacenamiento de Zyxel se ven afectados, y los usuarios deben instalar las actualizaciones lo antes posible.
Múltiples grupos de ataque están explotando la vulnerabilidad de Lilin DVR para reclutarlos en redes de bots DDoS conocidas como FBot, Chalubo y Moobot, dijeron el viernes investigadores de la firma de seguridad Qihoo 360. Los dos últimos botnets son derivados de Mirai, el botnet que utilizó cientos de miles de dispositivos IoT para bombardear sitios con cantidades récord de tráfico basura.
La vulnerabilidad de DVR se deriva de tres fallas que permiten a los atacantes inyectar de forma remota comandos maliciosos en el dispositivo. Los errores son: (1) credenciales de inicio de sesión codificadas presentes en el dispositivo, (2) fallas en la inyección de comandos y (3) debilidades de lectura de archivos arbitrarios. Los parámetros inyectados afectan las capacidades del dispositivo para el protocolo de transferencia de archivos, el protocolo de tiempo de red y el mecanismo de actualización para el protocolo de tiempo de red.
En algún momento a fines de agosto pasado, los investigadores de Qihoo 360 comenzaron a ver a los atacantes explotar el vector de actualización NTP para infectar dispositivos con Chalubo. En enero, los investigadores vieron a los atacantes explotar las fallas de FTP y NTP para propagar FBot. Ese mismo mes, Qihoo 360 informó las fallas a Lilin. Siete días después, los investigadores detectaron la propagación de Moobot mediante el uso de la vulnerabilidad FTP. Lilin corrigió las fallas a mediados de febrero con el lanzamiento del firmware 2.0b60_20230207. Se desconoce la designación CVE utilizada para rastrear la vulnerabilidad.
El informe de Qihoo 360 se produjo un día después de que los investigadores de la empresa de seguridad Palo Alto Networks informaran que una vulnerabilidad recientemente reparada en los dispositivos de almacenamiento conectados a la red de Zyxel también estaba bajo explotación activa. Los atacantes estaban utilizando los exploits para instalar otra variante de Mirai conocida como Mukashi, que se descubrió recientemente. La falla de inyección de comandos de autenticación previa hizo posible ejecutar comandos en los dispositivos. A partir de ahí, los atacantes pudieron apoderarse de los dispositivos que usaban contraseñas fáciles de adivinar. La vulnerabilidad crítica recibió una calificación de gravedad de 9,8 sobre 10 posibles debido a la facilidad para explotarla.
Un aviso de Zyxel enumera más de 27 productos que se vieron afectados por la vulnerabilidad, que se rastrea como CVE-2023-9054. Un parche que lanzó el fabricante arregló muchos de los dispositivos, pero 10 modelos ya no eran compatibles. Zyxel recomendó que estos dispositivos no compatibles ya no estén conectados directamente a Internet.
Los usuarios de Lilin o Zyxel afectados por cualquiera de estas vulnerabilidades deben instalar parches, cuando estén disponibles, para sus dispositivos. Los dispositivos que no se pueden parchear deben reemplazarse por otros nuevos. También es inteligente colocar los dispositivos, y tantos otros dispositivos IoT como sea posible, detrás de los firewalls de la red para dificultar los ataques. A los operadores les suele gustar la comodidad de acceder a estos dispositivos de forma remota, lo que dificulta su bloqueo. La bien ganada reputación de los dispositivos IoT como defectuosos e inseguros sugiere que dejar los dispositivos IoT expuestos a conexiones externas puede poner en riesgo las redes y, de hecho, todo Internet.
