Juniper Networks advierte que los productos Session Smart Router (SSR) con contraseñas predeterminadas están siendo atacados como parte de una campaña maliciosa que implementa el malware botnet Mirai.
La compañía dijo que emitirá el aviso después de que “varios clientes” informaran un comportamiento anómalo en sus plataformas Session Smart Network (SSN) el 11 de diciembre de 2024.
“Estos sistemas han sido infectados con el malware Mirai y posteriormente fueron utilizados como fuente de ataque DDOS a otros dispositivos accesibles a través de su red”, dicho. “Todos los sistemas afectados utilizaban contraseñas predeterminadas”.
Mirai, cuyo código fuente se filtró en 2016, ha generado varias variantes a lo largo de los años. El malware es capaz de buscar vulnerabilidades conocidas, así como credenciales predeterminadas, para infiltrarse en los dispositivos e incluirlos en una botnet para montar ataques distribuidos de denegación de servicio (DDoS).
Para mitigar dichas amenazas, se recomienda a las organizaciones cambiar sus contraseñas con efecto inmediato por contraseñas seguras y únicas (si no lo han hecho ya), auditar periódicamente los registros de acceso en busca de signos de actividad sospechosa, utilizar cortafuegos para bloquear el acceso no autorizado y mantener el software actualizado. fecha.
Algunos de los indicadores asociados con los ataques de Mirai incluyen escaneo de puertos inusual, intentos frecuentes de inicio de sesión SSH que indican ataques de fuerza bruta, aumento del volumen de tráfico saliente a direcciones IP inesperadas, reinicios aleatorios y conexiones desde direcciones IP maliciosas conocidas.
“Si se descubre que un sistema está infectado, la única forma segura de detener la amenaza es crear una nueva imagen del sistema, ya que no se puede determinar exactamente qué se pudo haber cambiado u obtenido del dispositivo”, dijo la compañía.
El desarrollo se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) reveló que los servidores Linux mal administrados, particularmente los servicios SSH expuestos públicamente, están siendo atacados por una familia de malware DDoS previamente no documentada denominada cShell.
“cShell está desarrollado en el lenguaje Go y se caracteriza por explotar herramientas de Linux llamadas screen y hping3 para realizar ataques DDoS”, ASEC dicho.
About the Author
