Site icon Panda Security Mediacenter

El botnet Mirai explota una nueva vulnerabilidad en empresas de todo el mundo

Mirai-botnet

El malware o los códigos maliciosos han estado presentes en nuestro entorno desde hace más de 40 años, pero su uso para conseguir el control de un grupo de sistemas conectados entre sí en algo denominado “botnet” es un fenómeno relativamente nuevo. Las botnets han sido responsables de algunos de los incidentes de seguridad más costosos de los últimos 10 años, por lo que empresas de todo el mundo destinan grandes esfuerzos en derrotar a este tipo de amenazas.

Un claro ejemplo es Mirai, el botnet tras uno de los mayores ataques de denegación de servicio (DDoS) que se conocen hasta la fecha y que afectó a grandes compañías como Twitter, Netflix, Spotify o PayPal. Este malware infectó a miles de dispositivos IoT, quedándose inactivo en su interior. Los creadores de Mirai lo activaron el 21 de octubre de 2016 para atacar al proveedor de servicios DNS Dyn. Tanto sus servicios como los de sus clientes estuvieron caídos o experimentaron problemas durante horas.

Parecía que el umbral de ataque de Mirai se limitaba a los dispositivos de IoT, pero esta teoría quedó descartada tras los casos detectados posteriormente, donde los ciberdelincuentes empezaron a recurrir a Mirai para abrir un nuevo flanco de ciberataques en los dispositivos equipados con Linux. Ahora, la red de bots Mirai está intentando explotar un fallo crítico de RCE en el software F5 BIG-IP

El último objetivo de Mirai: los dispositivos BIG-IP

Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales, siendo un producto utilizado por 48 compañías que integran la lista Fortune 50.

Esta vulnerabilidad con identificador CVE-2020-5902 podría permitir a un atacante, independientemente de si está o no autenticado, con acceso de red a TMUI (también conocido como utilidad de configuración), a través del puerto de administración BIG-IP y/o Self IPs, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java arbitrariamente, lo que podría resultar en un compromiso completo del sistema.

De acuerdo con los resultados que muestra la herramienta Shodan, actualmente la cantidad de dispositivos vulnerables a la CVE-2020-5902 superan los 8.400 y en su gran mayoría están en Estados Unidos y China. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.

El downloader de la red de bots Mirai descubierto puede ser añadido a nuevas variantes de malware. La herramienta realiza un escáner en busca de BIG-IP expuestas y ataca a los sistemas vulnerables afectados por CVE-2020-5902. CVE-2020-5902 es un fallo de ejecución de código remoto (RCE) existente en la Interfaz de Usuario de Gestión de Tráfico (TMUI) de los dispositivos BIG-IP. Para explotar la vulnerabilidad, un atacante necesita enviar una solicitud HTTP al servidor que alberga la utilidad TMUI para la configuración de BIG-IP. Según los investigadores, explotar con éxito esta vulnerabilidad podría llegar a comprometer completamente el sistema y perseguir otros objetivos, como la red interna.

Para protegerse de este tipo de ciberataques, las compañías deben tomar medidas que mantengan a salvo su ciberseguridad empresarial:

Y es que si algo caracteriza a los ataques de botnets es su sigilo y silencio… Por ello, la prevención y el contraataque también deben ser proactivos, vigilando cualquier proceso del sistema informático de la compañía para proteger su ciberseguridad empresarial.

 

Exit mobile version