Se ha observado una nueva campa\u00f1a de malware dirigida a dispositivos de borde de Cisco, ASUS, QNAP y Synology para colocarlos en una botnet llamada Polaredge desde al menos finales de 2023.<\/p>\n
Compa\u00f1\u00eda francesa de ciberseguridad Sekoia dicho<\/a> Observ\u00f3 que los actores de amenaza desconocidos aprovechan CVE-2023-20118<\/a> (Puntuaci\u00f3n CVSS: 6.5), una falla de seguridad cr\u00edtica que impacta en los enrutadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325 que podr\u00edan dar como resultado una ejecuci\u00f3n de comandos arbitrarios en dispositivos susceptibles.<\/p>\n La vulnerabilidad sigue sin parpadear debido a que los enrutadores alcanzan el estado de fin de vida (EOL). Como mitigaciones, Cisco recomend\u00f3 a principios de 2023 que la falla se mitige al deshabilitar la gesti\u00f3n remota y bloquear el acceso a los puertos 443 y 60443.<\/p>\n En el ataque registrado contra los honeypots de Sekoia, se dice que la vulnerabilidad se utiliz\u00f3 para entregar un implante previamente indocumentado, una puerta trasera TLS que incorpora la capacidad de escuchar las conexiones de cliente entrantes y ejecutar comandos.<\/p>\n La puerta trasera se lanza mediante un script de shell llamado “Q” que se recupera a trav\u00e9s de FTP y se ejecuta despu\u00e9s de una explotaci\u00f3n exitosa de la vulnerabilidad. Viene con capacidades para –<\/p>\n Codenamed Polaredge, el malware entra en un bucle infinito, estableciendo una sesi\u00f3n TLS, as\u00ed como para generar un proceso infantil para administrar las solicitudes de los clientes y ejecutar comandos utilizando EXEC_COMMAND.<\/p>\n “El binario informa al servidor C2 que ha infectado con \u00e9xito un nuevo dispositivo”, dijeron los investigadores de Sekoia Jeremy Scion y Felix Aim\u00e9. “El malware transmite esta informaci\u00f3n al servidor de informes, lo que permite al atacante determinar qu\u00e9 dispositivo estaba infectado a trav\u00e9s de la direcci\u00f3n IP\/emparejamiento de puertos”.<\/p>\n Un an\u00e1lisis posterior ha descubierto cargas \u00fatiles de Polaredge similares que se utilizan para dirigir los dispositivos ASUS, QNAP y Synology. Todos los artefactos fueron subidos a Virustotal por usuarios ubicados en Taiw\u00e1n. Las cargas \u00fatiles se distribuyen a trav\u00e9s de FTP utilizando la direcci\u00f3n IP 119.8.186[.]227, que pertenece a Huawei Cloud.<\/p>\n En total, se estima que la botnet ha comprometido 2.017 direcciones IP \u00fanicas en todo el mundo, con la mayor\u00eda de las infecciones detectadas en los Estados Unidos, Taiw\u00e1n, Rusia, India, Brasil, Australia y Argentina.<\/p>\n “El prop\u00f3sito de esta botnet a\u00fan no se ha determinado”, se\u00f1alaron los investigadores. “Un objetivo de Polaredge podr\u00eda ser controlar los dispositivos de borde comprometidos, transform\u00e1ndolos en cajas de rel\u00e9 operativas para lanzar ataques cibern\u00e9ticos ofensivos”.<\/p>\n “La Botnet explota m\u00faltiples vulnerabilidades en diferentes tipos de equipos, destacando su capacidad para apuntar a diversos sistemas. La complejidad de las cargas \u00fatiles subrayan a\u00fan m\u00e1s la sofisticaci\u00f3n de la operaci\u00f3n, lo que sugiere que los operadores calificados lo llevan a cabo. Esto indica que Polaredge es una amenaza cibern\u00e9tica bien coordinada y sustancial”.<\/p>\n La divulgaci\u00f3n se produce cuando SecurityScorecard revel\u00f3 que se est\u00e1 armando una botnet masiva que comprende m\u00e1s de 130,000 dispositivos infectados para realizar ataques a gran escala de contrase\u00f1as contra cuentas de Microsoft 365 (M365) al explotar firmantes no interactivos<\/a> con autenticaci\u00f3n b\u00e1sica.<\/p>\n Los firmantes no interactivos se usan t\u00edpicamente para la autenticaci\u00f3n de servicio a servicio y protocolos heredados como POP, IMAP y SMTP. No activan la autenticaci\u00f3n multifactor (MFA) en muchas configuraciones. La autenticaci\u00f3n b\u00e1sica, por otro lado, permite que las credenciales se transmitan en formato de texto sin formato.<\/p>\n La actividad, probablemente el trabajo de un grupo afiliado a los chinos, debido al uso de infraestructura vinculada a CDS Global Cloud y UCloud HK, emplea credenciales robadas de registros de infostales en una amplia gama de cuentas M365 para obtener acceso no autorizado y obtener datos sensibles.<\/p>\n “Esta t\u00e9cnica evita las protecciones modernas de inicio de sesi\u00f3n y evade la aplicaci\u00f3n de la ley de MFA, creando un punto ciego cr\u00edtico para los equipos de seguridad”, la compa\u00f1\u00eda dicho<\/a>. “Los atacantes aprovechan las credenciales robadas de los registros de infantes de infantes para atacar sistem\u00e1ticamente las cuentas a escala”.<\/p>\n “Estos ataques se registran en registros de inicio de sesi\u00f3n no interactivos, que a menudo son pasados \u200b\u200bpor alto por los equipos de seguridad. Los atacantes explotan esta brecha para realizar intentos de pulverizaci\u00f3n de contrase\u00f1as de alto volumen.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Polaredge-Botnet-explota-Cisco-y-otros-defectos-para-secuestrar-ASUS.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n