Una variante de la peligrosa botnet Muhstik está atacando routers con el firmware Tomato, utilizando por primera vez ataques de fuerza bruta para lograr accesos de autenticación web.
Investigadores de Palo Alto Networks han descubierto una nueva cepa de la botnet Muhstik que ataca routers con este firmware. Esta red de bots ya mostró su peligrosidad en el pasado por su capacidad de aprovechar múltiples vulnerabilidades contra otras aplicaciones instaladas a nivel de servidor, entre los que se encontraban Webdav, WebLogic, Webuzo y WordPress. Muhstik habría adoptado algunas técnicas de infección más bien propias de las botnets de IoT, buscando aplicaciones de servidor vulnerables y servidores con contraseñas débiles para acceder a estos mediante SSH.
El firmware Tomato es bien conocido. Abierto y basado en Linux, es utilizado por múltiples proveedores de routers y también por miles de usuarios finales que valoran su estabilidad, capacidad de transferencia de VPN y control avanzado de la calidad del servicio entre otras características. «La nueva variante de Muhstik escanea puertos TCP 8080 y omite la autenticación web del administrador», describen.
Los investigadores buscaron huellas digitales en Shodan encontrando más de 4.600 router expuestos en Internet. La botnet también compromete routers IoT como GPON home router y el DD-WRT. Estos dispositivos IoT están en el punto de mira de las botnets ya que son objetivos fáciles porque a menudo carecen de actualizaciones de seguridad periódicas o parches de mantenimiento necesarios para mantener los dispositivos seguros contra tales ataques, dicen desde Palo Alto.
La nueva variante muestra una vez más la falta inherente de seguridad en el panorama de IoT, con nuevos ataques en este tipo de dispositivos que parecen venir tan rápido que los investigadores de seguridad apenas pueden mantenerse al día.
A principios de esta semana, un pirata informático publicó una lista de credenciales para más de 515.000 dispositivos IoT en línea, obteniéndolos escaneando Internet en busca de dispositivos con puertos Telnet expuestos y luego utilizando combinaciones de contraseña predeterminadas o fáciles de adivinar.
Los investigadores no descubrieron actividades maliciosas más allá de los routers con el firmware Tomato vulnerables. Sin embargo, la botnet Muhstik es conocida principalmente por lanzar minería de criptomonedas y ataques DDoS en bots IoT para obtener ganancias.
Fuente:https://www.muyseguridad.net