La nueva variante Echobot Botnet utiliza más de 50 exploits para propagarse
Se ha descubierto una nueva variante de la botnet Echobot para incluir más de 50 exploits que conducen a vulnerabilidades de ejecución remota de código (RCE) en varios dispositivos de Internet de las cosas.
Echobot fue descubierto en mayo y analizado por investigadores de seguridad de Palo Alto Networks, que descubrieron que incorporaba 18 exploits en ese momento.
Una semana después, Larry Cashdollar de Akamai publicó su análisis, donde reveló que el número de exploits en Echobot aumentó a 26, la mayoría de los cuales eran RCE en varios dispositivos en red.
La última variante de Echobot fue encontrada por el investigador de seguridad Carlos Brendel Alcañiz, y utiliza 59 exploits diferentes de RCE para propagarse, según un tweet que publicó hoy.
Hace solo un par de horas recibí un exploit dirigido a dispositivos Asus. Nada interesante hasta ahora. El archivo "richard" es un gotero de mierda, pero el malware es solo un bot que se propaga usando 61 exploits RCE diferentes. Supongo que Richard está tratando de hacerse popular ^^ pic.twitter.com/xA1Tn2o3z1
- Carlos Brendel (@carbreal) 6 de agosto de 2019
Brendell dice que hizo el descubrimiento después de recibir un código armado que apuntaba a fallas de seguridad en los dispositivos Asus. La lista de cargas compiladas por el investigador muestra que el operador se basa en exploits conocidos, algunos tan antiguos como 2010.
El cuentagotas de malware está alojado en un servidor abierto, en un archivo llamado Richard.
La parte interesante es que el autor parece haber lanzado exploits sin apuntar a una categoría específica de productos. El código incorporado está disponible en múltiples repositorios públicos de exploits.
Brendel proporcionó a BleepingComputer los exploits que encontró en esta variante de Echobot y los productos a los que se dirigen incluyen una extraña combinación de soluciones de hardware y software: enrutadores, cámaras, concentradores domésticos inteligentes, sistemas de almacenamiento conectados a la red, servidores, software de administración de bases de datos, distribución Zeroshell.
No debería sorprender que esta botnet incluya una cantidad tan alta de cargas útiles. El malware es uno de los cientos de productos derivados de la botnet Mirai, cuyo código está disponible públicamente, creado para ataques distribuidos de denegación de servicio. Esto permite que cualquiera pueda modificarlo a su gusto.
No está claro qué está tratando de lograr el autor de esta variante, pero su esfuerzo definitivamente muestra la facilidad con que uno puede recoger el código malicioso y adaptarlo a sus propias necesidades.
Lista de exploits utilizados por esta variante Echobot. Todos ellos están disponibles en repositorios públicos:
| Asustor ADM 3.1.2RHG1 | Remote Code Execution |
| Ubiquity Nanostation5 (Air OS) | 0day Remote Command Execution |
| Alcatel-Lucent OmniPCX Enterprise 7.1 | Remote Command Execution |
| ASMAX AR 804 gu Web Management Console | Arbitrary Command Execution |
| ASUS DSL-N12E_C1 1.1.2.3_345 | Remote Command Execution |
| Asus RT56U 3.0.0.4.360 | Remote Command Injection |
| AWStats Totals 1.14 | multisort - Remote Command Execution |
| AWStats 6.0 | 'configdir' Remote Command Execution |
| AWStats 6.0 | 'migrate' Remote Command Execution |
| Barracuda | IMG.pl Remote Command Execution |
| Beckhoff CX9020 CPU Module | Remote Code Execution |
| Belkin Wemo UPnP | Remote Code Execution |
| BEWARD N100 H.264 VGA IP Camera M2.1.6 | Remote Code Execution |
| Crestron AM/Barco wePresent WiPG/Extron ShareLink/Teq AV IT/SHARP PN-L703WA/Optoma WPS-Pro/Blackbox HD WPS/InFocus | Remote Command Injection |
| Citrix SD-WAN Appliance 10.2.2 | Authentication Bypass / Remote Command Execution |
| EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 | Remote Code Execution |
| Dogfood CRM | 'spell.php' Remote Command Execution |
| CTEK SkyRouter 4200/4300 | Command Execution |
| NETGEAR R7000 / R6400 | 'cgi-bin' Command Injection |
| Dell KACE Systems Management Appliance (K1000) 6.4.120756 | Unauthenticated Remote Code Execution |
| D-Link | OS-Command Injection via UPnP Interface |
| OpenDreamBox 2.0.0 Plugin WebAdmin | Remote Code Execution |
| FreePBX 2.10.0 / Elastix 2.2.0 | Remote Code Execution |
| Fritz!Box Webcm | Command Injection |
| Geutebruck 5.02024 G-Cam/EFD-2250 | 'testaction.cgi' Remote Command Execution |
| Gitorious | Remote Command Execution |
| HomeMatic Zentrale CCU2 | Remote Code Execution |
| Hootoo HT-05 | Remote Code Execution |
| Iris ID IrisAccess ICU 7000-2 | Remote Root Command Execution |
| Linksys WAG54G2 | Web Management Console Arbitrary Command Execution |
| Mitel AWC | Command Execution |
| Nagios 3.0.6 | 'statuswml.cgi' Arbitrary Shell Command Injection |
| NUUO NVRmini | 'upgrade_handle.php' Remote Command Execution |
| NETGEAR ReadyNAS Surveillance 1.4.3-16 | Remote Command Execution |
| EyeLock nano NXT 3.5 | Remote Code Execution |
| OP5 5.3.5/5.4.0/5.4.2/5.5.0/5.5.1 | 'welcome' Remote Command Execution |
| op5 7.1.9 | Remote Command Execution |
| HP OpenView Network Node Manager 7.50 | Remote Command Execution |
| Oracle Weblogic 10.3.6.0.0 / 12.1.3.0.0 | Remote Code Execution |
| PHPMoAdmin | Unauthorized Remote Code Execution |
| Plone and Zope | Remote Command Execution |
| QuickTime Streaming Server | 'parse_xml.cgi' Remote Execution |
| Realtek SDK | Miniigd UPnP SOAP Command Execution |
| Redmine SCM Repository 0.9.x/1.0.x | Arbitrary Command Execution |
| Rocket Servergraph Admin Center | fileRequestor Remote Code Execution |
| SAPIDO RB-1732 | Remote Command Execution |
| Seowonintech Devices | Remote Command Execution |
| Spreecommerce 0.60.1 | Arbitrary Command Execution |
| LG SuperSign EZ CMS 2.5 | Remote Code Execution |
| FLIR Thermal Camera FC-S/PT | Command Injection |
| Schneider Electric U.Motion Builder 1.3.4 | 'track_import_export.php object_id' Unauthenticated Command Injection |
| MiCasaVerde VeraLite | Remote Code Execution |
| VMware NSX SD-WAN Edge | Command Injection |
| WePresent WiPG-1000 | Command Injection |
| Wireless IP Camera (P2P) WIFICAM | Remote Code Execution |
| Xfinity Gateway | Remote Code Execution |
| Yealink VoIP Phone SIP-T38G | Remote Command Execution |
| ZeroShell 1.0beta11 | Remote Code Execution |
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
No olvides Compartir...
Siguenos en twitter: @disoftin
