La variante Mirai conocida como Echobot ha resurgido una vez más con un mayor número de vulnerabilidades que puede explotar en dispositivos, con la última versión incorporando un total de 71 exploits únicos, 13 de los cuales no se han visto explotados en la naturaleza hasta hace poco. Estos van desde los antiguos CVE que se remontan a 2003, hasta las vulnerabilidades más nuevas que se hicieron públicas a principios de diciembre de 2019, lo que sugiere que los atacantes apuntan a los dispositivos heredados que son demasiado antiguos y no se pueden reparar debido a problemas de compatibilidad, y nuevos vulnerabilidades que son demasiado recientes para que los propietarios las hayan parcheado.
La cepa Echobot se vio por primera vez en la naturaleza en mayo de 2019. La última versión surgió por primera vez el 28 de octubre de 2019 durante un par de horas, después de lo cual se retiró. Luego resurgió el 3 de diciembre, cambiando las IP de carga útil y finalmente agregando 2 exploits más que no estaban en las muestras de octubre.
“Los exploits recientemente incorporados se dirigen a una gama de dispositivos desde los enrutadores, firewalls, cámaras IP y utilidades de administración de servidores que se suelen esperar, hasta objetivos más raramente vistos como un PLC, un sistema de pago en línea e incluso una aplicación web de control de yates”, según Palo La última publicación de la Unidad 42 de Alto Networks.
Una de las fallas más inusuales incluye CVE-2019-17270, una vulnerabilidad RCE en los servidores web de Yachtcontrol mencionados anteriormente, que permiten a los propietarios de yates controlar de forma remota las funciones de sus embarcaciones.
“Es posible ejecutar comandos directos del sistema operativo como un usuario no autenticado a través de la página y el parámetro ‘/pages/systemcall.php?command={COMMAND}’, donde se ejecutará {COMMAND} y devolverá los resultados al cliente”. Descripción de las lecturas de errores.
Otros exploits recientemente agregados se enumeran a continuación:
CVE-2019-18396
AVCON6RCE
CVE-2019-16072
CVE-2019-14931
Sar2HTMLRCE
CVE-2017-16602
CVE-2017-6316
CVE-2013-5912
ACTiASOC2200RCE
3ComOfficeConnectRCE
CVE-2006-4000
CCBillRCE
“La variante Mirai ECHOBOT se diferencia de las variantes concurrentes por el gran volumen de vulnerabilidades seleccionadas, en comparación con otras variantes que se adhieren a ciertas vulnerabilidades que han demostrado ser eficaces con el tiempo”, dijeron los investigadores.
“No podemos especular en este momento sobre la efectividad general de su enfoque, ya sea el uso de una gran cantidad de exploits o la elección de los mismos exploits”, agregaron.
La lista completa de las vulnerabilidades e indicadores de compromiso (IoC) de Echobot de CVE se puede encontrar en la última parte de la publicación del blog de Palo Alto .