Botnet de IoT burla firewalls para controlar modems ZyXEL

16/02/2018

Los honeypots de NewSky Security han detectado una nueva botnet IoT en desarrollo. La botnet fue nombrada DoubleDoor, ya que aprovecha dos puertas traseras distintas para llegar al objetivo: módems ZyXEL PK5001Z.

Ataques de DoubleDoor

Lo interesante de esta botnet en particular es que está preparada para pasar una capa adicional de seguridad y llegar al módem: los dispositivos de firewall de NetScreen de Juniper Networks.

Para llevar a cabo el ataque, emplea exploits para dos vulnerabilidades:

  • CVE-2015-7755, que afecta el software ScreenOS del firewall, permite a los atacantes acceder a los demonios SSH y telnet de los firewalls simplemente usando cualquier nombre de usuario aleatorio en combinación con una contraseña codificada específica. DoubleDoor usa netscreen para el nombre de usuario:

La vulnerabilidad fue descubierta por Juniper en diciembre de 2015 y se sospecha que es obra de un hacker patrocinado por el gobierno. La vulnerabilidad ha sido parchada.

  • CVE-2016-10401, una puerta trasera para dispositivos ZyXEL PK5001Z. Una vez que han pasado el firewall, los atacantes realizaron un ataque de fuerza bruta para obtener una cuenta administrativa como admin: CenturyL1nk. Luego usan CVE-2016-10401 para escalar privilegios y obtener una cuenta de superusuario (y completar el control del dispositivo). Este exploit en particular ha sido utilizado previamente por la botnet Mirai.

Otra cosa interesante acerca de DoubleDoor es que utiliza cadenas aleatorias para invocar el shell y comprobar si el dispositivo de IoT objetivo se ha tomado con éxito.

"Muchos atacantes usan una variedad de cadenas aquí para cumplir este propósito. Muchos usan el nombre de la botnet en sí (como MIRAI, ASUNA, MASUTA, SATORI) o su propio seudónimo como daddyl33t ", señalaron los investigadores de NewSky Security.

DoubleDoor evita ese enfoque y utiliza una cadena aleatoria de 8 caracteres en cada ataque para que esta actividad de reconocimiento no sea fácil de clasificar.

Una botnet en construcción

Esta configuración en particular (firewall de NetScreen + módem Zyxel) es más probable que se encuentre en entornos corporativos que en hogares privados, lo que posiblemente explica por qué los atacantes buscan estos objetivos específicamente.

"Obtener el control de los routers del entorno corporativo puede ser más valioso para un atacante, ya que puede conducir a ataques de IoT dirigidos", anotaron los investigadores.

Los ataques botnet DoubleDoor parecen estar en su fase naciente, ya que observamos los ataques solo durante un período del 18 de enero de 2018 al 27 de enero de 2018. A pesar de que el código es interesante, se espera que el número de dispositivos afectados por este ataque DoubleDoor sea bajo ya que el truco tendrá éxito solo si la víctima tiene una versión específica sin parche del firewall Juniper ScreenOS que protege los módems Zyxel sin los parches de seguridad ".

Artículos relacionados: