Una nueva botnet basada en Mirai está explotando activamente una vulnerabilidad de ejecución remota de código a la que no se le ha asignado un número de seguimiento y no parece estar parcheada en los NVR DigiEver DS-2105 Pro.
La campaña comenzó en octubre y se dirige a varios enrutadores y grabadores de vídeo en red de TP-Link con firmware desactualizado.
Una de las vulnerabilidades utilizadas en la campaña fue documentada por Ta-Lun Yen, investigador de TXOne, y presentado el año pasado en la conferencia de seguridad DefCamp en Bucarest, Rumania. Luego, el investigador dijo que el problema afectaba a varios dispositivos DVR.
Los investigadores de Akamai observaron que la botnet comenzó a explotar la vulnerabilidad a mediados de noviembre, pero encontraron evidencia de que la campaña había estado activa desde al menos septiembre.
Además de la falla de DigiEver, la nueva variante de malware Mirai también apunta a CVE-2023-1389 en dispositivos TP-Link y CVE-2018-17532 en enrutadores Teltonika RUT9XX.
Ataques a los NVR DigiEver
La vulnerabilidad explotada para comprometer los NVR DigiEver es una falla de ejecución remota de código (RCE) y los atacantes tienen como objetivo ‘/cgi-bin/cgi_main. cgi’ URI, que valida incorrectamente la entrada del usuario.
Esto permite a atacantes remotos no autenticados inyectar comandos como «curl» y «chmod» a través de ciertos parámetros, como el campo ntp en solicitudes HTTP POST.
Akamai dice que los ataques vistos por esta botnet basada en Mirai parecen similares a lo que se describe en la presentación de Ta-Lun Yen.
Mediante la inyección de comandos, los atacantes recuperan el binario del malware de un servidor externo e inscriben el dispositivo en su botnet. La persistencia se logra agregando trabajos cron.
Una vez que el dispositivo se ve comprometido, se utiliza para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) o para propagarse a otros dispositivos mediante la explotación de conjuntos de exploits y listas de credenciales.
Akamai dice que la nueva variante Mirai se destaca por su uso de cifrado XOR y ChaCha20 y su orientación a una amplia gama de arquitecturas de sistemas, incluidas x86, ARM y MIPS.
«Si bien el empleo de métodos complejos de descifrado no es nuevo, sugiere una evolución en tácticas, técnicas y procedimientos entre los operadores de botnets basados en Mirai». Opiniones de Akamai.
«Esto es particularmente notable porque muchas botnets basadas en Mirai todavía dependen de la lógica de ofuscación de cadenas originales del código reciclado incluido en la versión original del código fuente del malware Mirai», explican los investigadores.
Los investigadores señalan que la botnet también explota CVE-2018-17532una vulnerabilidad en los enrutadores Teltonika RUT9XX, así como CVE-2023-1389que afecta a los dispositivos TP-Link.
Los indicadores de compromiso (IoC) asociados con la campaña están disponibles al final del informe de Akamai, junto con las reglas de Yara para detectar y bloquear la amenaza.
