Investigaciones recientes han revelado que actores maliciosos están explotando una vulnerabilidad zero-day no especificada en los routers cnPilot de Cambium Networks para desplegar una variante del botnet AISURU, conocida como AIRASHI, con el objetivo de llevar a cabo ataques DDoS.

Según el análisis de QiAnXin XLab, los atacantes han estado aprovechando esta vulnerabilidad desde junio de 2024. Aunque los detalles específicos de la vulnerabilidad se han mantenido en reserva para prevenir su explotación, se sabe que AIRASHI ha incorporado funcionalidades avanzadas, incluyendo la capacidad de ejecutar comandos arbitrarios y proporcionar acceso a shells inversos. Además, se ha observado que algunas variantes de AIRASHI integran funcionalidades de proxyware, lo que sugiere que los actores maliciosos podrían estar ampliando sus servicios más allá de los ataques DDoS.

Vulnerabilidades Explotadas en Dispositivos IoT

Además de la vulnerabilidad en los routers cnPilot, AIRASHI ha explotado múltiples vulnerabilidades en dispositivos IoT para ampliar su alcance. Entre las vulnerabilidades conocidas se incluyen:

– CVE-2013-3307: Vulnerabilidad en dispositivos de AVTECH.

– CVE-2016-20016: Afecta a cámaras de seguridad LILIN.

– CVE-2017-5259: Impacta a dispositivos de Shenzhen TVT.

– CVE-2018-14558: Afecta a cámaras de seguridad AVTECH.

– CVE-2020-25499: Vulnerabilidad en dispositivos de Shenzhen TVT.

– CVE-2020-8515: Afecta a cámaras de seguridad LILIN.

– CVE-2022-3573: Impacta a dispositivos de Shenzhen TVT.

– CVE-2022-40005: Vulnerabilidad en cámaras de seguridad AVTECH.

– CVE-2022-44149: Afecta a dispositivos de Shenzhen TVT.

– CVE-2023-28771: Impacta a cámaras de seguridad LILIN.

Estas vulnerabilidades han sido explotadas para ampliar la botnet y aumentar la capacidad de los ataques DDoS.

AIRASHI ha demostrado una capacidad de ataque significativa, con informes que indican que su capacidad de ataque se mantiene estable entre 1 y 3 Tbps. Los dispositivos comprometidos se localizan principalmente en Brasil, Rusia, Vietnam e Indonesia, mientras que los objetivos prioritarios de los ataques incluyen China, Estados Unidos, Polonia y Rusia.

Se recomienda a los administradores de sistemas y usuarios de dispositivos IoT afectados que:

– Actualicen sus dispositivos: Apliquen las actualizaciones de seguridad proporcionadas por los fabricantes para corregir las vulnerabilidades conocidas.

– Revisen configuraciones de seguridad: Aseguren que las configuraciones de seguridad estén correctamente implementadas y que las contraseñas predeterminadas hayan sido cambiadas.

– Monitoreen el tráfico de red: Implementen soluciones de monitorización para detectar patrones de tráfico inusuales que puedan indicar actividad de botnets.

– Implementen medidas de mitigación de DDoS: Consideren el uso de servicios de mitigación de DDoS para proteger sus infraestructuras contra ataques de gran escala.

La explotación de vulnerabilidades en dispositivos IoT resalta que la seguridad no debe ser vista como una tarea única, sino como un proceso continuo y adaptativo. Los atacantes constantemente evolucionan sus métodos, lo que significa que las estrategias de defensa deben ir más allá de las actualizaciones periódicas o las configuraciones predeterminadas, como la importancia de una vigilancia activa y la integración de soluciones que no solo respondan a los incidentes, sino que anticipen nuevas amenazas. A medida que los sistemas se interconectan más, la seguridad cibernética debe ser un esfuerzo colaborativo y de adaptación constante, no un enfoque reactivo.

Fuente: Una al día Hispasec