Botnets DDoS secuestran dispositivos Zyxel para lanzar ataques devastadores

21 de julio de 2023THNVulnerabilidad / Botnet

Se han observado varias redes de bots de denegación de servicio distribuido (DDoS) que explotan una falla crítica en los dispositivos Zyxel que salió a la luz en abril de 2023 para obtener el control remoto de los sistemas vulnerables.

“A través de la captura del tráfico de exploits, se identificó la dirección IP del atacante y se determinó que los ataques estaban ocurriendo en múltiples regiones, incluidas América Central, América del Norte, Asia Oriental y el Sur de Asia”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho.

La falla, rastreada como CVE-2023-28771 (puntaje CVSS: 9.8), es un error de inyección de comandos que afecta a múltiples modelos de firewall y que podría permitir que un actor no autorizado ejecute código arbitrario al enviar un paquete diseñado específicamente al dispositivo de destino.

El mes pasado, la Fundación Shadowserver advirtió que la falla estaba siendo “explotada activamente para construir una botnet similar a Mirai” al menos desde el 26 de mayo de 2023, lo que indica cómo está aumentando el abuso de servidores que ejecutan software sin parches.

Los últimos hallazgos de Fortinet sugieren que múltiples actores están aprovechando la deficiencia de manera oportunista para violar hosts susceptibles y acorralarlos en una red de bots capaz de lanzar ataques DDoS contra otros objetivos.

Esto comprende Red de bots Mirai variantes como Dark.IoT y otra botnet que ha sido denominada Katana por su autor, que viene con capacidades para montar ataques DDoS usando protocolos TCP y UDP.

“Parece que esta campaña utilizó múltiples servidores para lanzar ataques y se actualizó en unos pocos días para maximizar el compromiso de los dispositivos Zyxel”, dijo Lin.

La divulgación llega como Cloudflare reportado una “escalada alarmante en la sofisticación de los ataques DDoS” en el segundo trimestre de 2023, con actores de amenazas que idean formas novedosas de evadir la detección “imitando hábilmente el comportamiento del navegador” y manteniendo sus tasas de ataque por segundo relativamente bajas.

A la complejidad se suma el uso de ataques de lavado de DNS para ocultar el tráfico malicioso a través de resolutores de DNS recursivos de buena reputación y botnets de máquinas virtuales para orquestar ataques DDoS hipervolumétricos.

“En un ataque de lavado de DNS, el actor de amenazas consultará los subdominios de un dominio administrado por el servidor DNS de la víctima”, explicó Cloudflare. “El prefijo que define el subdominio es aleatorio y nunca se usa más de una o dos veces en un ataque de este tipo”.

“Debido al elemento de aleatorización, los servidores DNS recursivos nunca tendrán una respuesta en caché y deberán reenviar la consulta al servidor DNS autorizado de la víctima. El servidor DNS autorizado es bombardeado por tantas consultas hasta que no puede atender las consultas legítimas o incluso falla por completo”.

Otro factor digno de mención que contribuye al aumento de las ofensivas DDoS es la aparición de grupos hacktivistas prorrusos como KillNet, REvil y Anonymous Sudan (también conocido como Storm-1359) que se han centrado abrumadoramente en objetivos en EE. UU. y Europa. No hay evidencia para conectar a REvil con el conocido grupo de ransomware.

La “creación y absorción regular de nuevos grupos de KillNet es, al menos parcialmente, un intento de seguir atrayendo la atención de los medios occidentales y mejorar el componente de influencia de sus operaciones”, dijo Mandiant. dicho en un nuevo análisis, agrega que la orientación del grupo se ha “alineado constantemente con las prioridades geopolíticas rusas establecidas y emergentes”.

“La estructura, el liderazgo y las capacidades de KillNet han sufrido varios cambios observables en el transcurso de los últimos 18 meses, avanzando hacia un modelo que incluye nuevos grupos afiliados de mayor perfil destinados a llamar la atención para sus marcas individuales además de la marca KillNet más amplia”, agregó.