Un misterioso tráfico anómalo hacia el puerto 8000 fue descubierto hace unos días por el equipo de investigación de Qihoo 360 Netlabs, los cuales asociaron el tráfico a la botnet Satori.
De acuerdo a los investigadores, la publicación de la prueba de concepto del 8 de junio por un popular sitio web de paquetes de software, llamo la atención del equipo de desarrollo de satori, quienes integraron ese exploit en particular dentro del accionar del botnet.
La prueba de concepto es de una vulnerabilidad de "Buffer OverFlow" (CVE-2018-10088) en XionMai uc-httpd 1.0.0, el cual es un servidor web liviano que está integrado dentro del firmware de los routers y equipos IoT vendidos por algunos proveedores chinos.
El exploit envía un paquete mal formado a los puertos 80 y 8000 y ejecuta código malicioso en el dispositivo objetivo.
Los escaneos para dispositivos que tenían el puerto 8000 expuesto a través de su interfaz WAN comenzaron un día después de la publicación del PoC pero se retomaron el 14 de junio. El súbito aumento en la actividad del puerto 8000 convirtió las cabezas de múltiples expertos en seguridad especializados en seguidores de botnets, de la nada y a una escala increíble.
port 8000 scan is also jumping up now...stay tuned for more update https://t.co/GiJhJRKMkA https://t.co/CI3afTOQha— 360 Netlab (@360Netlab) 15 de junio de 2018
De acuerdo al Honeypot que tiene Qihoo 360 Netlabs, el escaneo del puerto 8000 tuvo una caída de actividad el día 15 de junio. Desafortunadamente, no fue porque Satori no pudo infectar dispositivos, sino porque los autores de la botnet agregaron soporte para un segundo exploit.
El segundo Exploit afecta a la linea D-link DSL-2750B, la cual se explota mediante los puertos 80 y 8080.
Naturalmente, la actividad de exploración dirigida a estos dos puertos también creció de manera similar a la que se ve en el puerto 8000, y el equipo de Satori está tratando de acorralar tantos routers como sea posible antes de que otras botnets se unan al redil.
Después de apuntar previamente a los enrutadores GPON, y con la adición de estos dos nuevos exploits, Satori continúa creciendo todos los días. La botnet ya sobrevivió a un intento de eliminación en diciembre pasado, y sus autores parecen decididos a continuar en su camino actual.