Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Polaredge Botnet explota Cisco y otros defectos para secuestrar ASUS, QNAP y Synology Devices
  • Tecnología

Polaredge Botnet explota Cisco y otros defectos para secuestrar ASUS, QNAP y Synology Devices

teknomers 27 de Şubat de 2025 (Last updated: 27 de Şubat de 2025) 5 minutes read
Polaredge Botnet explota Cisco y otros defectos para secuestrar ASUS,


27 de febrero de 2025Ravie LakshmananVulnerabilidad / Seguridad de la red

Se ha observado una nueva campaña de malware dirigida a dispositivos de borde de Cisco, ASUS, QNAP y Synology para colocarlos en una botnet llamada Polaredge desde al menos finales de 2023.

Compañía francesa de ciberseguridad Sekoia dicho Observó que los actores de amenaza desconocidos aprovechan CVE-2023-20118 (Puntuación CVSS: 6.5), una falla de seguridad crítica que impacta en los enrutadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 que podrían dar como resultado una ejecución de comandos arbitrarios en dispositivos susceptibles.

La vulnerabilidad sigue sin parpadear debido a que los enrutadores alcanzan el estado de fin de vida (EOL). Como mitigaciones, Cisco recomendó a principios de 2023 que la falla se mitige al deshabilitar la gestión remota y bloquear el acceso a los puertos 443 y 60443.

En el ataque registrado contra los honeypots de Sekoia, se dice que la vulnerabilidad se utilizó para entregar un implante previamente indocumentado, una puerta trasera TLS que incorpora la capacidad de escuchar las conexiones de cliente entrantes y ejecutar comandos.

Ciberseguridad

La puerta trasera se lanza mediante un script de shell llamado “Q” que se recupera a través de FTP y se ejecuta después de una explotación exitosa de la vulnerabilidad. Viene con capacidades para –

  • Archivos de registro de limpieza
  • Terminar procesos sospechosos
  • Descargue una carga útil maliciosa llamada “T.tar” del 119.8.186[.]227
  • Ejecutar un binario llamado “cipher_log” extraído del archivo
  • Establecer persistencia modificando un archivo llamado “/etc/flash/etc/cipher.sh” para ejecutar el binario “cipher_log” repetidamente
  • Ejecutar “cipher_log”, la puerta trasera TLS

Codenamed Polaredge, el malware entra en un bucle infinito, estableciendo una sesión TLS, así como para generar un proceso infantil para administrar las solicitudes de los clientes y ejecutar comandos utilizando EXEC_COMMAND.

“El binario informa al servidor C2 que ha infectado con éxito un nuevo dispositivo”, dijeron los investigadores de Sekoia Jeremy Scion y Felix Aimé. “El malware transmite esta información al servidor de informes, lo que permite al atacante determinar qué dispositivo estaba infectado a través de la dirección IP/emparejamiento de puertos”.

Un análisis posterior ha descubierto cargas útiles de Polaredge similares que se utilizan para dirigir los dispositivos ASUS, QNAP y Synology. Todos los artefactos fueron subidos a Virustotal por usuarios ubicados en Taiwán. Las cargas útiles se distribuyen a través de FTP utilizando la dirección IP 119.8.186[.]227, que pertenece a Huawei Cloud.

En total, se estima que la botnet ha comprometido 2.017 direcciones IP únicas en todo el mundo, con la mayoría de las infecciones detectadas en los Estados Unidos, Taiwán, Rusia, India, Brasil, Australia y Argentina.

“El propósito de esta botnet aún no se ha determinado”, señalaron los investigadores. “Un objetivo de Polaredge podría ser controlar los dispositivos de borde comprometidos, transformándolos en cajas de relé operativas para lanzar ataques cibernéticos ofensivos”.

“La Botnet explota múltiples vulnerabilidades en diferentes tipos de equipos, destacando su capacidad para apuntar a diversos sistemas. La complejidad de las cargas útiles subrayan aún más la sofisticación de la operación, lo que sugiere que los operadores calificados lo llevan a cabo. Esto indica que Polaredge es una amenaza cibernética bien coordinada y sustancial”.

La divulgación se produce cuando SecurityScorecard reveló que se está armando una botnet masiva que comprende más de 130,000 dispositivos infectados para realizar ataques a gran escala de contraseñas contra cuentas de Microsoft 365 (M365) al explotar firmantes no interactivos con autenticación básica.

Ciberseguridad

Los firmantes no interactivos se usan típicamente para la autenticación de servicio a servicio y protocolos heredados como POP, IMAP y SMTP. No activan la autenticación multifactor (MFA) en muchas configuraciones. La autenticación básica, por otro lado, permite que las credenciales se transmitan en formato de texto sin formato.

La actividad, probablemente el trabajo de un grupo afiliado a los chinos, debido al uso de infraestructura vinculada a CDS Global Cloud y UCloud HK, emplea credenciales robadas de registros de infostales en una amplia gama de cuentas M365 para obtener acceso no autorizado y obtener datos sensibles.

“Esta técnica evita las protecciones modernas de inicio de sesión y evade la aplicación de la ley de MFA, creando un punto ciego crítico para los equipos de seguridad”, la compañía dicho. “Los atacantes aprovechan las credenciales robadas de los registros de infantes de infantes para atacar sistemáticamente las cuentas a escala”.

“Estos ataques se registran en registros de inicio de sesión no interactivos, que a menudo son pasados ​​por alto por los equipos de seguridad. Los atacantes explotan esta brecha para realizar intentos de pulverización de contraseñas de alto volumen.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Tres personas arrestadas para Fire Apartment Complex KLM Flight Academy Eelde
Next: Microsoft se basa en la IA para relanzar Bing contra Google

Related Stories

Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA
  • Tecnología

Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA en oferta

teknomers 8 de Temmuz de 2026
Rowenta X-Pert 6.60 a la venta a -38%: un aspirador
  • Tecnología

Rowenta X-Pert 6.60 a la venta a -38%: un aspirador escoba coherente y razonable para un pequeño hogar

teknomers 8 de Temmuz de 2026
Bouygues Telecom añade un botón "Gemini" al control remoto de
  • Tecnología

Bouygues Telecom añade un botón “Gemini” al control remoto de su llave b.tv, ¡no se detiene la IA!

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida: Cita del día de Johnny Depp: “Usas tu dinero para comprar privacidad porque… – Lecciones inspiradoras sobre libertad, fama, límites y por qué todos necesitan espacio personal, por el actor estadounidense conocido por sus versátiles actuaciones y profundas reflexiones sobre la individualidad y la naturaleza humana.

teknomers 8 de Temmuz de 2026
  • Deporte

Wimbledon 2026: Arthur Fery ilumina la cancha central mientras continúa su extraordinaria racha

teknomers 8 de Temmuz de 2026
  • Deporte

PSG: «Mónaco está dispuesto a quedarse con Akliouche si no hay un buen acuerdo», advierte el director general del ASM.

teknomers 8 de Temmuz de 2026
  • General

« Había mucho amor en la sala »: después de regañar a los europeos, Donald Trump aboga por la unidad de la OTAN

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.