Nueva variante de Mirai usa vulnerabilidad en DVRs TBK para crear botnet de DDoS
Ciberdelincuentes están aprovechando fallos de seguridad en los DVRs (grabadores de video digital) de TBK y en routers Wi-Fi TP-Link que ya no reciben soporte técnico, para infectar dispositivos con una nueva versión del botnet Mirai. Este tipo de ataque puede convertir tus dispositivos en parte de una red zombi usada para realizar ataques masivos en internet, como los ataques de denegación de servicio (DDoS), que interrumpen el acceso a servicios online.
Vulnerabilidad CVE-2024-3721: la puerta de entrada
El ataque a los DVRs de TBK explota la vulnerabilidad CVE-2024-3721 (un fallo de seguridad con un identificador específico), que permite la inyección de comandos en los dispositivos TBK DVR-4104 y DVR-4216. Esta vulnerabilidad, calificada de severidad media, permite introducir código malicioso. Los investigadores de Fortinet FortiGuard Labs y Palo Alto Networks Unit 42 descubrieron que los atacantes están usando esta vulnerabilidad para instalar una variante de Mirai llamada Nexcorium.
- ¿Qué es Mirai? Mirai es un tipo de malware (software malicioso) que convierte dispositivos IoT (Internet de las Cosas) en "bots" que pueden ser controlados remotamente para lanzar ataques DDoS.
- ¿Qué hace Nexcorium? Esta variante de Mirai comparte características con otras versiones, como el cifrado XOR para ocultar la configuración, un módulo de vigilancia y la capacidad de realizar ataques DDoS.
Cómo funciona el ataque con Nexcorium
El ataque comienza con la explotación de la vulnerabilidad CVE-2024-3721 para descargar un script (un pequeño programa) que luego instala el botnet (red de robots informáticos) adaptado a la arquitectura del sistema Linux del dispositivo. Una vez que el malware se ejecuta, muestra un mensaje indicando que "nexuscorp ha tomado el control".
Nexcorium también intenta aprovechar otra vulnerabilidad, CVE-2017-17215, para atacar dispositivos Huawei HG532 en la misma red. Además, incluye una lista de nombres de usuario y contraseñas comunes para intentar acceder a los dispositivos mediante ataques de fuerza bruta a través de conexiones Telnet. Si el acceso Telnet es exitoso, el malware busca obtener una shell (una interfaz de línea de comandos), establecer persistencia (asegurarse de que el malware se ejecute incluso después de reiniciar el dispositivo) utilizando crontab y servicios systemd, y finalmente conectarse a un servidor externo para recibir comandos para lanzar ataques DDoS a través de UDP, TCP y SMTP.
El problema de los routers TP-Link desactualizados
Además de los DVRs de TBK, los investigadores también detectaron intentos de explotar la vulnerabilidad CVE-2023-33538 en routers inalámbricos TP-Link que ya no reciben actualizaciones de seguridad (EoL). Aunque los ataques observados fueron defectuosos, confirman que la vulnerabilidad es real y podría ser explotada si se realiza correctamente. Esta vulnerabilidad afecta a los modelos TL-WR940N v2 y v4, TL-WR740N v1 y v2, y TL-WR841N v8 y v10.
Qué puedes hacer para protegerte
La principal recomendación para los usuarios de dispositivos TP-Link afectados es reemplazarlos por modelos más nuevos que sí reciban soporte técnico. Además, es fundamental cambiar las contraseñas predeterminadas de todos tus dispositivos IoT (cámaras, routers, etc.) por contraseñas robustas y únicas.
Para las empresas, es crucial realizar auditorías de seguridad periódicas y mantener sus sistemas actualizados con los últimos parches de seguridad. La detección temprana de actividad maliciosa es clave para mitigar el impacto de estos ataques.
En resumen
Este ataque demuestra que los dispositivos IoT siguen siendo un objetivo fácil para los ciberdelincuentes. La falta de actualizaciones de seguridad y el uso de contraseñas predeterminadas son factores que facilitan la propagación de botnets como Mirai. Mantener tus dispositivos actualizados y protegidos con contraseñas seguras es fundamental para evitar ser parte de un ataque masivo.
