Descubren una botnet que utiliza una vulnerabilidad reciente y bloquea otros ataques

Nueva botnet que se basa en vBulletin

Nos hacemos eco de una nueva botnet que utiliza el exploit vBulletin que ha sido descubierto recientemente. Como sabemos, esta vulnerabilidad puede ser explotada de forma remota. Se trata de una vulnerabilidad de Zero-Day y que ha provocado que muchos atacantes se aprovechen de ello. Lo interesante de esta nueva botnet es que una vez ataca protege esos servidores vulnerables para evitar que otros atacantes se aprovechen del problema. De esta forma se quedan como la única botnet atacando ese servidor.
Una nueva botnet explota la vulnerabilidad vBulletin

Como sabemos, una botnet es un conjunto de equipos que han sido infectados y que pueden ser controlados de forma remota. Actúa como un ejército, por decirlo de alguna forma. Se pueden aprovechar de vulnerabilidades existentes y atacar.

Pero claro, si hay varias botnets que quieren atacar un servidor vulnerable, al final los recursos tienen que dividirse. Es ahí el motivo por el cual esta nueva botnet que usa el exploit vBulletin bloquea el servidor que está atacando para evitar así que otras botnets puedan utilizarlo.

Gracias a bloquear el acceso de otros atacantes a ese servidor se garantiza poder controlar la totalidad de los recursos. Esto es algo que hemos visto en algunas versiones de mineros ocultos de criptomonedas, que tenían también funciones para expulsar a otros mineros de ese equipo y de esta forma utilizar al 100% los recursos del equipo infectado sin tener que compartir.

Una nueva botnet bloquea otros ataques
Cómo bloquea el acceso de otras botnets

Esta botnet lo que hace es aprovecharse de la vulnerabilidad de vBulletin. Es algo básico y que en cualquier ataque de este tipo se produce algo similar. Sin embargo tiene la peculiaridad de modificar el archivo de código fuente vulnerable. De esta forma puede ponerle una contraseña y evitar que otros atacantes puedan explotarlo.

Sin esta modificación, la vulnerabilidad permitiría que cualquier atacante pueda explotarla de forma remota. Algo que podría provocar que varias botnets pudieran utilizar un mismo servidor y tener que compartir los recursos.

Gracias a esa modificación del código fuente de la vulnerabilidad evita que una segunda y sucesivas botnets que puedan intentar acceder no tengan esa capacidad. Básicamente significa que esa vulnerabilidad solo puede ser ejecutada por un atacante que conozca la contraseña.

Según indican desde Bleeping Computer esta nueva botnet ha sido detectada en numerosos países en todo el mundo. Sin embargo de momento no saben exactamente cuáles son los propósitos de atacar este tipo de servidores.

Por último, para todos aquellos usuarios que utilicen vBulletin recomendamos actualizar lo antes posible e instalar los últimos parches. Afecta a las versiones de vBulletin 5.5.2, 5.5.3 y 5.5.4. Es importante que actualicemos estas versiones para evitar ser víctimas de esta nueva botnet y otras que puedan explotar la vulnerabilidad.

Ya sabemos que pueden surgir vulnerabilidades que pongan en riesgo los sistemas y dispositivos. Por suerte son los propios fabricantes quienes suelen lanzar actualizaciones para corregir el problema. Por ello siempre es importante contar con las últimas versiones y parches sin importar el tipo de dispositivo o sistema operativo que estemos utilizando.

Ver información original al respecto en Fuente>

saludos

ms, 26-9-2019