Más de 18.000 routers Huawei comprometidos en un día por una nueva botnet

Investigadores de NewSky Security descubren una botnet que ha infectado a más de 18.000 routers Huawei en tan solo un día.

El autor del malware, que se hace llamar “Anarchy” es el responsable de otras botnets variantes de Mirai, como Sora o Owari. “Anarchy” ha conseguido infectar más de 18.000 routers Huawei HG532 en tan solo un día y utilizando un solo exploit. Su motivación es, probablemente, la ejecución de ataques DDoS bajo demanda.

Lo preocupante de esto es que lo ha hecho utilizando una vulnerabilidad ampliamente conocida y parcheada hace casi un año: CVE-2017-17215 utilizada además en otras botnets como Mirai o Satori.

La vulnerabilidad permitiría a un atacante remoto autenticado ejecutar código arbitrario enviando paquetes especialmente manipulados al puerto 37215.

Pese a que los fabricantes publican los parches, es responsabilidad de los usuarios su aplicación, lo que refleja todavía una gran falta de concienciación en materia de seguridad.

Exploit. Fuente: @ankit_anubhav

Como se observa en la imagen, el aumento de escaneos del puerto 37215, el utilizado para explotar la vulnerabilidad, es notable.

Según ha comunicado el propio autor del malware a algunos medios, “Anarchy” planea otro ataque que apunta a routers Realtek aprovechando la vulnerabilidad CVE-2014-8361, que permitiría la ejecución remota de código realizando peticiones ‘NewInternalClient’ especialmente manipuladas.

Aunque todavía no se tiene constancia de ninguna muestra se ha observado un aumento de escaneos en el puerto 52869, utilizado para explotar la vulnerabilidad de estos routers.

Algunos IoCs proporcionados por NewSky:

Hash-MD5 c3cf80d13a04996b68d7d20eaf1baea8
Hash-SHA256 61440574aafaf3c4043e763dd4ce4c628c6c92fb7d7a2603076b3f60f2813f1b
IPv4 104.244.72.82
URL http://104.244.72.82
URL http://104.244.72.82/sister
URL http://104.244.72.82/k
URL http://104.244.72.82/gpon

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies