Threats
Uma vulnerabilidade não corrigida em NVR DigiEver DS-2105 Pro está a ser explorada ativamente por um botnet baseado no Mirai, revela a Akamai
27/12/2024
|
Uma nova campanha de ciberataque tem como alvo dispositivos de rede que exploram uma vulnerabilidade crítica de execução remota de código (RCE) em gravadores de vídeo em rede (NVR) DigiEver DS-2105 Pro e outros equipamentos com firmware desatualizado, conforme alerta a Akamai. A falha, que não possui número de rastreador e ainda não foi corrigida, permite que invasores injetem comandos maliciosas nos dispositivos vulneráveis. A campanha, iniciada em outubro, afeta também routers TP-Link e foi observada pela primeira vez em novembro, embora a atividade esteja em curso desde setembro. A vulnerabilidade em questão foi inicialmente documentada por Ta-Lun Yen da TXOne, que a apresentou na conferência de segurança DefCamp que se realizou no ano passado, em Bucareste. A vulnerabilidade em questão foi inicialmente documentada por Ta-Lun Yen, pesquisador da TXOne, que a apresentou na conferência de segurança DefCamp, em Bucareste, no ano passado. A falha afeta não apenas os NVR DigiEver, mas também outros dispositivos DVR, e permite que invasores remotos não autenticados injete comandos como “curl” e “chmod” por meio de parâmetros específicos nas solicitações HTTP POST. O problema foi amplamente explorado por vários botnet, sendo um vetor comum em campanhas de ataque DDoS (negação de serviço distribuída). A Akamai detalha ainda que a nova variante do botnet, baseada no Mirai, não se limita à falha dos NVR DigiEver. Além dela, o botnet também explora o CVE-2023-1389, uma vulnerabilidade nos dispositivos TP-Link, e o CVE-2018-17532, que afeta os roteadores Teltonika RUT9XX. Após a exploração das falhas, os dispositivos comprometidos são inscritos no botnet, realizando ataques DDoS ou propagando-se para outros dispositivos vulneráveis por meio de listas de credenciais e conjuntos de exploração. A persistência é, de acordo com a empresa, garantida pela criação de cron jobs maliciosos. A nova versão do Mirai destaca-se pelo uso de criptografia XOR e ChaCha20, além de suportar várias arquiteturas de sistemas, como x86, ARM e MIPS. Essa evolução nas táticas de criptografia e ofuscação de código sugere um aprimoramento nas técnicas utilizadas pelos operadores do botnet, que antes dependiam de métodos mais simples e conhecidos. Para responder a estas questões, a Akamai disponibilizou indicadores de comprometimento (IoC) e regras da Yara para ajudar a detetar e bloquear a ameaça. |
Receba todas as novidades na sua caixa de correio!
NEWS
Investigador demonstra método para ultrapassar encriptação BitLocker
NEWS
Microsoft emite aviso urgente para atualizar .NET
THREATS
Cibercriminosos chineses comprometem Departamento do Tesouro dos EUA em incidente significativo
ANALYSIS
Estudo revela lacunas de segurança em todas as fases do ciclo de vida dos dispositivos
THREATS
Lançada exploração de PoC para vulnerabilidade de execução de código arbitrário em servidores OpenSSH
THREATS
Botnets exploram routers obsoletos em ciberataques
THREATS
Apache corrige vulnerabilidade crítica no Tomcat
THREATS
Botnet baseado em Mirai explora falha em dispostiivos de rede
THREATS
Routers com palavras-passe predefinidas estão a ser infetados com Mirai
THREATS
Adobe corrige vulnerabilidade que já tem proof-of-concept
