Se ha descubierto una nueva versión del infame malware Mirai que se dirige a una vulnerabilidad crítica recientemente revelada en dispositivos de almacenamiento conectado a la red (NAS). Apodada Mukashi, la nueva variante explota la vulnerabilidad CVE-2020-9054 (vulnerabilidad de PoC que se puso a disposición del público el mes pasado) en dispositivos Zyxel NAS no parcheados para infectar y controlar de forma remota máquinas vulnerables, según el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks .
Mukashi aprovecha los ataques de fuerza bruta utilizando diferentes combinaciones de credenciales predeterminadas para iniciar sesión en los productos de firewall Zyxel NAS, UTM, ATP y VPN. Según los investigadores, varios productos Zyxel NAS con versiones de firmware de hasta 5.21 son vulnerables a esta amenaza.
La falla tiene una calificación crítica (es decir, puntuación CVSS v3.1 de 9.8) y es trivial para explotar, advierte la Unidad 42. CVE-2020-9054 reside en un programa "weblogin.cgi" utilizado por los dispositivos Zyxel, lo que potencialmente permite a los atacantes ejecutar código remoto mediante la inyección de comandos.
"El ejecutable weblogin.cgi no valida correctamente el parámetro de nombre de usuario durante la autenticación. El atacante puede usar una comilla simple 'para cerrar la cadena y un punto y coma; para concatenar comandos arbitrarios para lograr la inyección de comandos. Dado que weblogin.cgi acepta solicitudes HTTP GET y POST, el atacante puede incorporar la carga maliciosa en una de estas solicitudes HTTP y obtener la ejecución del código ”, se lee en el análisis.
El equipo de investigación descubrió por primera vez la actividad de Mukashi el 12 de marzo, cuando el actor de la amenaza intentó descargar un script de shell en el directorio tmp, ejecutar el script descargado y eliminar la evidencia en un dispositivo vulnerable.
Una vez que ha infectado un dispositivo, el robot Mukashi realiza ataques de fuerza bruta en un intento de comprometer otros dispositivos IoT en la red e informa a su servidor de comando y control si un intento de inicio de sesión ha sido exitoso.
Mukashi usa combinaciones de credenciales predeterminadas (como t0talc0ntr0l4! O taZz @ 23495859) para comprometer otros sistemas. Al igual que otras versiones de Mirai, Mukashi admite varios comandos, incluido el lanzamiento de ataques DDoS.
"Cuando se ejecuta, Mukashi imprime el mensaje" Protegiendo su dispositivo de futuras infecciones ". a la consola El malware luego cambia su nombre de proceso a dvrhelper, lo que sugiere que Mukashi puede heredar ciertos rasgos de su predecesor ”, dicen los investigadores.
Zyxel emitió un parche para la vulnerabilidad el mes pasado, aunque la actualización no cubre los productos NAS afectados que alcanzaron el final del soporte en 2016 o antes.
https://unit42.paloaltonetworks.com/new-mirai-variant-mukashi/
