wireless-1861612_1280.jpg

Nova botnet explora dias zero para infectar NVRs e roteadores

Da Redação
24/11/2023

A Akamai descobriu dois bugs de dia zero capazes de permitir a execução remota de código (RCE), ambos sendo explorados para distribuir o malware Mirai e construir um exército de botnet para ataques distribuídos de negação de serviço (DDoS). Os autores da campanha não foram identificados, mas sabe-se que os dias zero têm como alvo roteadores e gravadores de vídeo (NVRs) em rede de dois fornecedores e usam as senhas padrão dos dispositivos.

Como as brechas de segurança ainda não foram corrigidas, a equipe de resposta de inteligência de segurança (SIRT) da Akamai não nomeou as marcas ou os dispositivos afetados. Patches para produtos vulneráveis devem ser lançados em dezembro.

A botnet baseada no Mirai, chamada de InfectedSlurs, sequestra os dispositivos para torná-los parte de seu ataquee de DDoS, presumivelmente alugado para obter lucro. A Akamai diz ter avistado a botnet pela primeira vez em seus honeypots no final de outubro, notando atividade incomum em uma porta TCP raramente usada. Entretanto, a atividade inicial do malware remonta ao final de 2022.

Com base nos dados que possuíam, os analistas do SIRT realizaram uma varredura em toda a internet e descobriram que os dispositivos visados estavam vinculados a um fabricante específico de NVR, não citado no relatório por razões de segurança. A botnet aproveita uma falha RCE para obter acesso não autorizado ao dispositivo.

Veja isso
Servidores MySQL são alvo da botnet Ddostf
EUA anunciam remoção de botnet e confissão de hacker

“O SIRT fez uma verificação rápida para CVEs [vulnerabilidades] conhecidos por impactar os dispositivos NVR desse fornecedor e ficou surpreso ao descobrir que estávamos olhando para uma nova exploração de dia zero sendo ativamente explorada”, diz o relatório da Akamai.

Um exame mais aprofundado da equipe mostrou que o malware também usa credenciais padrão documentadas nos manuais do fornecedor para vários produtos NVR para instalar uma botnet cliente e executar outras atividades maliciosas.

Além disso, a Akamai descobriu que a botnet também tem como alvo um roteador de LAN sem fio popular entre usuários domésticos e hotéis, que tem outra falha RCE de dia zero alavancada pelo malware. O fornecedor do roteador, que também não foi identificado, prometeu lançar atualizações de segurança que resolvam o problema em dezembro.

Para ter acesso ao relatório completo da Akamai, em inglês, clique aqui.

Compartilhar: