Nueva Botnet Explota Vulnerabilidades en NVRs y Routers TP-Link: Un Riesgo Emergente para Dispositivos IoT

En una nueva ola de ataques cibernéticos, un botnet basado en Mirai ha comenzado a explotar vulnerabilidades en dispositivos de grabación de video en red (NVR) y routers TP-Link. Este botnet, activo desde octubre de 2024, está aprovechando fallas críticas no parchadas en modelos de NVR DigiEver DS-2105 Pro, así como en routers TP-Link y Teltonika. Los atacantes están utilizando estas vulnerabilidades para secuestrar dispositivos, convertirlos en bots de su red y usarlos en ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas.

Vulnerabilidades Explotadas: Una Amenaza Multiplicada

El botnet está aprovechando un fallo de ejecución remota de código (RCE) en los NVR DigiEver. Esta vulnerabilidad, que aún no tiene un número de seguimiento, permite que los atacantes inyecten comandos maliciosos a través de parámetros HTTP no validados. Al aprovechar esta vulnerabilidad en la URI ‘/cgi-bin/cgi_main.cgi’, los atacantes pueden ejecutar comandos como curl y chmod para tomar control de los dispositivos afectados.

Además, el botnet también explota otras dos vulnerabilidades bien conocidas en dispositivos de red. La primera es CVE-2023-1389, que afecta a los routers TP-Link, y la segunda es CVE-2018-17532, presente en los routers Teltonika RUT9XX. Ambas fallas permiten a los atacantes comprometer los dispositivos, lo que deja expuestos a millones de dispositivos IoT vulnerables.

El Ataque: Infección y Persistencia del Botnet

Una vez que los dispositivos son comprometidos, el malware se descarga desde servidores externos y la víctima es añadida a la botnet. La persistencia de la infección se mantiene mediante la creación de tareas cron en el sistema, lo que garantiza que el dispositivo siga siendo parte de la botnet incluso después de reinicios o desconexiones.

El objetivo de este botnet es doble: en primer lugar, llevar a cabo ataques DDoS, lo que puede generar una sobrecarga de tráfico hacia servicios y redes, interrumpiendo la operatividad de los mismos. En segundo lugar, el botnet se propaga a otros dispositivos al aprovechar listas de credenciales y conjuntos de explotación de vulnerabilidades.

La Evolución del Botnet Mirai

Este nuevo botnet basado en Mirai ha mostrado una evolución en sus técnicas, en comparación con las versiones anteriores de esta amenaza. Aunque el uso de técnicas de cifrado complejas como XOR y ChaCha20 no es completamente nuevo, su implementación es un indicativo de que los operadores del botnet están adaptando y sofisticando sus tácticas. Esto marca una diferencia notable, ya que muchos de los botnets Mirai anteriores aún se basan en el código fuente original, utilizando técnicas de ofuscación simples.

Este botnet destaca no solo por su capacidad para atacar diferentes arquitecturas de sistemas (como x86, ARM y MIPS), sino también por la implementación de métodos de cifrado avanzados, lo que hace más difícil la detección y mitigación de las infecciones.

Medidas de Mitigación y Prevención

Para protegerse contra este tipo de amenazas, es esencial que las organizaciones y usuarios particulares mantengan actualizados sus dispositivos IoT. Esto incluye routers, NVRs y cualquier otro dispositivo conectado a la red. Además, la implementación de medidas de seguridad adicionales, como firewalls, segmentación de red y el monitoreo constante de los dispositivos IoT, puede reducir el riesgo de infección.

Conclusión: La Amenaza Continúa Evolucionando

Este nuevo ataque demuestra cómo los botnets siguen siendo una de las amenazas más persistentes en el ecosistema IoT. La explotación de vulnerabilidades no parcheadas, junto con la creciente sofisticación en las tácticas de los atacantes, subraya la necesidad urgente de implementar buenas prácticas de seguridad y de actualización continua en todos los dispositivos conectados.

Las organizaciones deben estar alertas a estas nuevas tendencias y fortalecer sus estrategias de ciberseguridad para protegerse ante la evolución constante de los ataques basados en botnets.

Related Posts
Clear Filters

La autenticación multifactor (MFA) de Microsoft es un mecanismo de seguridad diseñado para proteger el acceso a cuentas y servicios,…

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.