• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Mukashi, la nueva variante de Mirai que explota los NAS Zyxel

Mukashi, la nueva variante de Mirai que explota los NAS Zyxel

20 marzo, 2020 Por Alberto Segura Deja un comentario

Atacantes están utilizando un fallo de seguridad en los NAS de Zyxel para infectarlos con una nueva variante del troyano Mirai

Mukashi es el nombre que se le ha dado a la nueva variante de Mirai, el malware que infecta dispositivos IoT expuestos en Internet para añadirlos a su red de ‘bots’.

En este caso, se han detectado intentos de explotación de una vulnerabilidad para los NAS de Zyxel, identificada con CVE-2020-9054. Aunque Zyxel ya ha lanzado parches de seguridad que corrigen esta vulnerabilidad, los atacantes están tratando de aprovecharla e infectar aquellos dispositivos que aún no han sido parcheados.

Poco después de que se hiciese pública la prueba de concepto de la vulnerabilidad el mes pasado, los atacantes comenzaron a utilizar el exploit para distribuir Mukashi.

Este fallo de seguridad en los productos de Zyxel permite a un atacante ejecutar comandos en el sistema Linux de los mismos gracias a una petición HTTP que puede realizarse sin necesidad de autenticarse en el panel web de estos NAS.

Petición realizada por los atacantes para explotar la vulnerabilidad e infectar el dispositivo

En la imagen anterior podemos observar la petición que realizan los atacantes para infectar el dispositivo. Como podemos ver, se trata de una inyección de comandos que, en este caso, se aprovecha para descargar y ejecutar un script Bash que continuará con la siguiente fase de la infección.

Script descargado

Como podemos observar, el script descarga ocho binarios diferentes, uno para cada una de las posibles arquitecturas que se pueden encontrar en el dispositivo infectado. Tras descargar cada uno de ellos, se configuran correctamente los permisos y se ejecuta, de forma que solamente aquel que corresponda con la arquitectura correcta podrá ejecutarse sin problemas, mientras que el resto fallará.

Una vez infectados, los dispositivos pasan a formar parte de la ‘botnet’, y su principal objetivo es infectar nuevos dispositivos a través del uso de credenciales por defecto o poco seguras en los servicios de Telnet.

Escaneo de servidores Telnet de forma aleatoria

Una vez que se encuentra un servidor de Telnet con una contraseña poco segura, este es reportado al servidor de control para que pase a formar parte de la ‘botnet’. La conexión con el servidor de control (45[.]84[.]196[.]75) se realiza a través del puerto 34834.

El mensaje enviado para reportar un nuevo dispositivo encontrado y sus credenciales tiene la siguiente estructura:

<dirección IP>:23 <nombre de usuario>:<contraseña>

Además, Mukashi, enviará un mensaje al servidor de control para informar de que el dispositivo ha sido infectado y se encuentra listo a la espera de recibir comandos. Para ello envía el mensaje al puerto 4864 del servidor de control indicando si se está ejecutando como root y el primer parámetro con el que se ejecutó el malware, lo que permite identificar el método de infección (si se usó un exploit y cual) y la arquitectura del dispositivo.

Mensaje enviado al C2 tras la infección

Si eres un usuario de dispositivos NAS de Zyxel, actualiza tu dispositivo lo antes posibles para estar protegido frente a este tipo de ataques.

Más información:

Fuente: https://unit42.paloaltonetworks.com/new-mirai-variant-mukashi/

Acerca de Alberto Segura

Alberto Segura Ha escrito 77 publicaciones.

  • View all posts by Alberto Segura →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades Etiquetado como: cve, exploit, malware, mirai, mukashi

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...