29 de julio de 2018

ROUTERS HUAWEI. Más de 18.000 comprometidos en un día por una nueva botnet

Investigadores de NewSky Security descubren una botnet que ha infectado a más de 18.000 routers Huawei en tan solo un día.
El autor del malware, que se hace llamar "Anarchy" es el responsable de otras botnets variantes de Mirai, como Sora o Owari. "Anarchy" ha conseguido infectar más de 18.000 routers Huawei HG532 en tan solo un día y utilizando un solo exploit. Su motivación es, probablemente, la ejecución de ataques DDoS bajo demanda.
Lo preocupante de esto es que lo ha hecho utilizando una vulnerabilidad ampliamente conocida y parcheada hace casi un año: CVE-2017-17215 utilizada además en otras botnets como Mirai o Satori.
La vulnerabilidad permitiría a un atacante remoto autenticado ejecutar código arbitrario enviando paquetes especialmente manipulados al puerto 37215.
Pese a que los fabricantes publican los parches, es responsabilidad de los usuarios su aplicación, lo que refleja todavía una gran falta de concienciación en materia de seguridad.
Según ha comunicado el propio autor del malware a algunos medios, "Anarchy" planea otro ataque que apunta a routers Realtek aprovechando la vulnerabilidad CVE-2014-8361, que permitiría la ejecución remota de código realizando peticiones 'NewInternalClient' especialmente manipuladas.
Aunque todavía no se tiene constancia de ninguna muestra se ha observado un aumento de escaneos en el puerto 52869, utilizado para explotar la vulnerabilidad de estos routers.
Algunos IoCs proporcionados por NewSky:
Más información:
Router Crapfest: Malware Author Builds 18,000-Strong Botnet in a Day
Fuente: Hispasec