Ciberseguridad 360 | Botnet explota vulnerabilidad en routers Four-Faith para ataques DDoS

Se ha descubierto una variante de la red de bots Mirai que explota un fallo de seguridad recientemente revelado que afecta a los routers industriales Four-Faith desde principios de noviembre de 2024 con el objetivo de realizar ataques distribuidos de denegaci�n de servicio (DDoS).

La red de bots mantiene aproximadamente 15.000 direcciones IP activas al d�a, y las infecciones se distribuyen principalmente por China, Ir�n, Rusia, Turqu�a y Estados Unidos.

Aprovechando un arsenal de m�s de 20 vulnerabilidades de seguridad conocidas y credenciales Telnet d�biles para el acceso inicial, se sabe que el malware lleva activo desde febrero de 2024. La botnet ha sido apodada "gayfemboy" en referencia al t�rmino ofensivo presente en el c�digo fuente.

QiAnXin XLab dijo haber observado que el malware aprovechaba una vulnerabilidad zero-day en los routers industriales fabricados por Four-Faith, con sede en China, para enviar los artefactos ya el 9 de noviembre de 2024.

La vulnerabilidad en cuesti�n es CVE-2024-12856 (puntuaci�n CVSS: 7,2), que se refiere a un fallo de inyecci�n de comandos del sistema operativo (SO) que afecta a los modelos de router F3x24 y F3x36 aprovechando las credenciales predeterminadas sin modificar.

A finales del mes pasado, VulnCheck inform� a The Hacker News de que la vulnerabilidad hab�a sido explotada para lanzar shells inversos y una carga �til similar a Mirai en dispositivos infectados.

Algunos de los otros fallos de seguridad explotados por la red de bots para ampliar su alcance y escala son CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957.

Una vez lanzado, el malware intenta ocultar procesos maliciosos e implementa un formato de comandos basado en Mirai para buscar dispositivos vulnerables, actualizarse y lanzar ataques DDoS contra objetivos de inter�s.

Los ataques DDoS que aprovechan la red de bots se han dirigido a cientos de entidades diferentes a diario, y la actividad alcanz� un nuevo pico en octubre y noviembre de 2024. Los ataques, aunque duran entre 10 y 30 segundos, generan un tr�fico de unos 100 Gbps.

La revelaci�n se produce semanas despu�s de que Juniper Networks advirtiera de que los productos Session Smart Router (SSR) con contrase�as predeterminadas est�n siendo objetivo de actores maliciosos para lanzar el malware de botnet Mirai. Akamai tambi�n ha revelado infecciones de malware Mirai que aprovechan un fallo de ejecuci�n remota de c�digo en los DVR DigiEver.

"El DDoS se ha convertido en una de las formas m�s comunes y destructivas de ciberataque", afirman los investigadores de XLab. "Sus modos de ataque son diversos, las rutas de ataque son altamente ocultas, y puede emplear estrategias y t�cnicas en continua evoluci�n para llevar a cabo ataques precisos contra diversas industrias y sistemas, lo que representa una amenaza significativa para las empresas, organizaciones gubernamentales y usuarios individuales."

El desarrollo tambi�n se produce cuando los actores de amenazas est�n aprovechando servidores PHP susceptibles y mal configurados (por ejemplo, CVE-2024-4577) para desplegar un minero de criptomoneda llamado PacketCrypt.

Fuente: thehackernews