{"id":1339297,"date":"2024-08-29T22:57:22","date_gmt":"2024-08-29T22:57:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-una-falla-sin-parches-de-la-camara-ip-de-avtech-para-realizar-ataques-de-botnet\/"},"modified":"2024-08-29T22:57:27","modified_gmt":"2024-08-29T22:57:27","slug":"los-piratas-informaticos-aprovechan-una-falla-sin-parches-de-la-camara-ip-de-avtech-para-realizar-ataques-de-botnet","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-una-falla-sin-parches-de-la-camara-ip-de-avtech-para-realizar-ataques-de-botnet\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan una falla sin parches de la c\u00e1mara IP de AVTECH para realizar ataques de botnet"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad y vulnerabilidad de IoT<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una falla de alta gravedad de varios a\u00f1os de antig\u00fcedad que afecta a las c\u00e1maras IP de AVTECH ha sido utilizada por actores maliciosos como un d\u00eda cero para atraerlos a una red de bots.<\/p>\n

CVE-2024-7029 (puntuaci\u00f3n CVSS: 8,7), la vulnerabilidad en cuesti\u00f3n, es una “vulnerabilidad de inyecci\u00f3n de comandos encontrada en la funci\u00f3n de brillo de las c\u00e1maras de circuito cerrado de televisi\u00f3n (CCTV) de AVTECH que permite la ejecuci\u00f3n remota de c\u00f3digo (RCE)”, dijeron los investigadores de Akamai Kyle Lefton, Larry Cashdollar y Aline Eliovich. dicho<\/a>.<\/p>\n

Los detalles de la deficiencia de seguridad fueron hechos p\u00fablicos por primera vez a principios de este mes por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), destacando su baja complejidad de ataque y la capacidad de explotarla de forma remota.<\/p>\n

“La explotaci\u00f3n exitosa de esta vulnerabilidad podr\u00eda permitir a un atacante inyectar y ejecutar comandos como propietario del proceso en ejecuci\u00f3n”, dijo la agencia. anotado<\/a> en una alerta publicada el 1 de agosto de 2024.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Cabe se\u00f1alar que el problema sigue sin solucionarse. Afecta a los dispositivos con c\u00e1mara AVM1203 que utilizan versiones de firmware hasta FullImg-1023-1007-1011-1009 inclusive. Los dispositivos, aunque ya no se fabrican, todav\u00eda se utilizan en instalaciones comerciales, servicios financieros, atenci\u00f3n m\u00e9dica y salud p\u00fablica y sectores de sistemas de transporte, seg\u00fan la CISA.<\/p>\n

Akamai dijo que la campa\u00f1a de ataque ha estado en marcha desde marzo de 2024, aunque la vulnerabilidad ha tenido un Explotaci\u00f3n de prueba de concepto (PoC) p\u00fablica<\/a> desde febrero de 2019. Sin embargo, no se emiti\u00f3 un identificador CVE hasta este mes.<\/p>\n

“Los actores maliciosos que operan estas botnets han estado utilizando vulnerabilidades nuevas o poco conocidas para propagar malware”, dijo la empresa de infraestructura web. “Hay muchas vulnerabilidades con exploits p\u00fablicos o PoC disponibles que carecen de una asignaci\u00f3n formal de CVE y, en algunos casos, los dispositivos permanecen sin parches”.<\/p>\n

Las cadenas de ataque son bastante sencillas, ya que aprovechan la falla de la c\u00e1mara IP de AVTECH, junto con otras vulnerabilidades conocidas (CVE-2014-8361<\/a> y CVE-2017-17215<\/a>), para difundir una variante de la botnet Mirai en los sistemas objetivo.<\/p>\n

“En este caso, es probable que la botnet est\u00e9 utilizando la variante Corona Mirai, a la que se ha hecho referencia en Otros vendedores<\/a> “Ya en 2020, en relaci\u00f3n con el virus COVID-19”, dijeron los investigadores. “Al ejecutarse, el malware se conecta a una gran cantidad de hosts a trav\u00e9s de Telnet en los puertos 23, 2323 y 37215. Tambi\u00e9n imprime la cadena ‘Corona’ en la consola de un host infectado”.<\/p>\n

El desarrollo se produce semanas despu\u00e9s de que las empresas de ciberseguridad Sekoia y Team Cymru detallaran una botnet “misteriosa” llamada 7777 (o Quad7) que ha aprovechado los enrutadores TP-Link y ASUS comprometidos para realizar ataques de rociado de contrase\u00f1as contra cuentas de Microsoft 365. Se han identificado hasta 12.783 bots activos hasta el 5 de agosto de 2024.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“Esta botnet es conocida en c\u00f3digo abierto por implementar servidores proxy SOCKS5 en dispositivos comprometidos para retransmitir ataques de ‘fuerza bruta’ extremadamente lentos contra cuentas de Microsoft 365 de muchas entidades en todo el mundo”, dijeron los investigadores de Sekoia. dicho<\/a>se\u00f1alando que la mayor\u00eda de los enrutadores infectados se encuentran en Bulgaria, Rusia, EE. UU. y Ucrania.<\/p>\n

Si bien la botnet recibe su nombre del hecho de que abre el puerto TCP 7777 en los dispositivos comprometidos, una investigaci\u00f3n de seguimiento del Equipo Cymru ha revelado desde entonces una posible expansi\u00f3n para incluir un segundo conjunto de bots que se componen principalmente de enrutadores ASUS y se caracterizan por el puerto abierto 63256.<\/p>\n

“La botnet Quad7 sigue representando una amenaza importante, demostrando tanto resiliencia como adaptabilidad, incluso si su potencial es actualmente desconocido o inalcanzable”, dijo Team Cymru dicho<\/a>“El v\u00ednculo entre las redes de bots 7777 y 63256, si bien mantiene lo que parece ser un silo operativo distinto, subraya a\u00fan m\u00e1s las t\u00e1cticas en evoluci\u00f3n de los operadores de amenazas detr\u00e1s de Quad7”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n