Investigadores de seguridad han revelado la existencia de la botnet PolarEdge, una campaña activa que está atacando dispositivos de borde (edge devices) como routers y NAS de marcas como Cisco, ASUS, QNAP y Synology. El objetivo es incorporar estos dispositivos a una infraestructura de ataque mayor, utilizando un implante ELF basado en TLS.
Implante PolarEdge: El Backdoor Silencioso en el Borde
PolarEdge es un malware altamente persistente que convierte los dispositivos de red en nodos de una infraestructura criminal, explotando la debilidad en la seguridad de los equipos periféricos.
Mecanismo y evasión
- Implante ELF y TLS: El malware es un ELF binario que utiliza la librería mbedTLS para establecer un canal de Comando y Control (C2) seguro y cifrado.
- Explotación: En los casos documentados, se explotó la vulnerabilidad CVE-2023-20118 en routers Cisco Small Business expuestos a Internet para instalar el malware.
- C2 Inverso: El implante actúa como servidor TLS, escuchando conexiones entrantes para recibir comandos, lo que lo hace más difícil de detectar que un simple cliente bot que se conecta a un C2 externo.
- Configuración oculta: La configuración del backdoor está embebida en los últimos 512 bytes del binario ELF y se decodifica con una simple operación XOR (clave 0x11), complicando la reversión automática.
Riesgo y subestimación
- Objetivos: Routers Cisco Small Business vulnerables a CVE-2023-20118, y dispositivos NAS/ routers de ASUS, QNAP y Synology con firmware vulnerable.
- Riesgo Crítico de Edge: Muchas organizaciones y usuarios subestiman el riesgo de los dispositivos de borde (NAS, routers), enfocando los parches en servidores centrales.
- Impacto en la Red: Una vez comprometido, el router o NAS puede monitorizar el tráfico, redirigir conexiones, servir como relé de salida o ser una plataforma de ataque hacia la red interna sin que el usuario lo perciba.
Recomendaciones
- Parcheo Inmediato y Gestión de Firmware
- Identificar y Parchear: Identificar todos los dispositivos de borde expuestos a Internet y aplicar parches disponibles para vulnerabilidades conocidas (incluyendo la CVE-2023-20118 en Cisco).
- NAS/Otros: Asegúrese de que los NAS y enrutadores ASUS/QNAP/Synology tengan versiones recientes de firmware y que no haya funciones de administración remota activas innecesarias.
- Reducción de la Superficie de Exposición
- Desactivar Servicios: Desactivar servicios de administración remota o web que no sean necesarios, especialmente desde redes externas.
- Aislamiento de Borde: Aislar dispositivos de borde de la red de producción interna. Utilizar VLAN, segmentación de red y listas blancas de IP para limitar el acceso. Nunca exponga directamente al enrutador o NAS al público de Internet.
- Monitoreo y Detección de Puertas Traseras
- Tráfico TLS Anómalo: Configurar alertas para tráfico inusual desde routers /NAS que inicien conexiones TLS (C2) hacia afuera, especialmente a hosts desconocidos o con comportamientos de botnet.
- Registros de firmware: Monitorear registros de firmware y administración que indiquen cambios de configuración, nuevos procesos o servicios extraños en los dispositivos.
- IOCs Volátiles: Realizar escaneos periódicos de IOCs asociados a PolarEdge (Ejemplo: hashes ELF o nombres de procesos que imitan httpd, igmpproxy).
- Endurecimiento
- Contraseñas y MFA: cambie contraseñas predeterminadas y use autenticación fuerte (MFA) para la administración de dispositivos.
- Control de Binarios: Asegúrese de que los dispositivos no permitan la carga de binarios arbitrarios o scripts desde ubicaciones no confiables.
