Por lo general, los usuarios finales son los que dejan brechas de seguridad dentro de sus sistemas, ya sea por dejar credenciales y configuraciones por defecto en equipamiento critico o divulgan información sin querer mediante engaño u otros métodos. Estas brechas de seguridad son las que aprovechan los atacantes para vulnerar los sistemas y hacerse de ellos. Pero teniendo una perspectiva mas a grandes rasgos, los atacantes también son personas, y también comenten los mismos errores y en este caso ellos mismos dejaron su infraestructura vulnerable a ataques.
Una variante de la botnet Owari, que realiza ataques a equipos del Internet de las cosas, fue descubierta con credenciales por defecto de MySql para acceder a su bases de datos en el centro de control y comando (C&C), permitiendo a cualquier persona que conozca la IP, pueda acceder a esa base de datos.
Ankit Anubhav, fue el investigador de la firma NewSky Security que descubrió esta brecha de seguridad en esas botnets, la cual publico en el blog de NewSky
NewSky, utilizo honeypots para detectar el ataque de esta botnet y fue ahí cuando descubrieron que una de las cargas útiles del botnet, era descargada de la IP (80.211.232[.]43). Hicieron pruebas de puertos abiertos y detectaron que el puerto de MySql tcp/3306 estaba abierto para que sea consultado desde cualquier origen.
Lo mas anecdótico fue que las credenciales para acceder a MySql eran: User: root, password root.
En el caso específico de Owari, observamos a un usuario con un límite de duración de 3600 segundos con un uso permitido de bots establecido en -1 (máximo). Cabe señalar que las credenciales de todos estos usuarios de botnets también son débiles. Se lee en su blog.
Para información de todos los C&C de estas botnet están alojados en las Ip 80.221.232.43 y en la IP 80.211.45.89, pero estas están offline actualmente. No se descarta que despues de este descubrimiento el centro de control y comando pueda cambiar de IP.
