Búsca en Seguridad y Firewall


Los hackers explotan los errores de día cero en los dispositivos Draytek para apuntar a las redes empresariales

Diego Cortes Robles sábado, marzo 28, 2020Compartir:


Investigadores de ciberseguridad con NetLab de Qihoo 360 revelaron hoy detalles de dos campañas de ciberataque de día cero recientemente descubiertas en la naturaleza dirigidas a dispositivos de red de nivel empresarial fabricados por DrayTek con sede en Taiwán.

Según el informe, al menos dos grupos separados de piratas informáticos explotaron dos vulnerabilidades críticas de inyección de comandos remotos ( CVE-2020-8515 ) que afectan a los conmutadores empresariales DrayTek Vigor, equilibradores de carga, enrutadores y dispositivos de puerta de enlace VPN para espiar el tráfico de red e instalar puertas traseras.

Los ataques de día cero comenzaron en algún lugar a fines de noviembre pasado o principios de diciembre y aún están potencialmente en curso contra miles de conmutadores DrayTek expuestos públicamente , Vigor 2960, 3900, 300B.dispositivos que aún no han sido parcheados con las últimas actualizaciones de firmware lanzadas el mes pasado.

Las vulnerabilidades de día cero en cuestión pueden ser explotadas por cualquier atacante remoto no autorizado para inyectar y ejecutar comandos arbitrarios en el sistema, como también lo detalla otro investigador en su blog.


"Los dos puntos de inyección del comando de vulnerabilidad de 0 días son keyPath y rtick, ubicados en /www/cgi-bin/mainfunction.cgi, y el programa correspondiente del servidor web es / usr / sbin / lighttpd", dice el informe.


Los investigadores de NetLab aún no han atribuido ambos ataques a ningún grupo específico, pero sí confirmaron que si bien el primer grupo simplemente espió el tráfico de la red, el segundo grupo de atacantes utilizó la vulnerabilidad de inyección de comando rtick para crear:

  • la puerta trasera de sesión web que nunca caduca,
  • Puerta trasera SSH en los puertos TCP 22335 y 32459,
  • cuenta de sistema de puerta trasera con usuario "wuwuhanhan" y contraseña "caonimuqin".

Tenga en cuenta que si acaba de instalar el firmware parcheado o si lo instala ahora, no eliminará las cuentas de puerta trasera automáticamente en caso de que ya esté comprometido.

https://thehackernews.com/2020/03/draytek-network-hacking.html
Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!