La vulnerabilidad de 0 días en DigiEver DS-2105 convierte los DVR en zombis

Los investigadores de ciberseguridad han identificado una nueva red de botnets basada en Mirai, que explota activamente una vulnerabilidad de ejecución remota de código en las grabadoras de video DigiEver DS-2105 Pro. La vulnerabilidad tiene un estado de Zero-day, aún no se le ha asignado un CVE y no se ha publicado una solución. Este hecho convierte a los dispositivos de las víctimas en un blanco fácil para los hackers.

El ciberataque comenzó en octubre, afectando a varios grabadores de video en red y enrutadores TP-Link con software obsoleto. Una de las vulnerabilidades utilizadas en la campaña fue presentada por el investigador de TXOne, Ta-Lun Yen, en la conferencia DefCamp en Bucarest. Según sus datos, el problema afecta a numerosos dispositivos DVR.

Los especialistas de Akamai detectaron la explotación activa de esta vulnerabilidad desde mediados de noviembre, aunque las pruebas indican que los ataques comenzaron ya en septiembre. Además de DigiEver, el botnet tiene como objetivo las vulnerabilidades CVE-2023-1389 en dispositivos TP-Link y CVE-2018-17532 en enrutadores Teltonika RUT9XX.

La vulnerabilidad relacionada con los dispositivos DigiEver se basa en un error en el manejo del URI '/cgi-bin/cgi_main.cgi', donde no se realiza una validación adecuada de los datos del usuario. Esto permite a los atacantes no autenticados introducir comandos de forma remota, como curl y chmod, a través de los parámetros de las solicitudes HTTP, por ejemplo, el campo ntp.

Los hackers utilizan la inyección de comandos para descargar un archivo malicioso desde un servidor externo, tras lo cual el dispositivo se conecta al botnet. Para mantener el acceso, se agregan tareas cron. Los dispositivos comprometidos se utilizan para realizar ataques DDoS o para propagar aún más el botnet.

La nueva versión de Mirai se distingue por el uso de cifrado XOR y ChaCha20, además de ser compatible con múltiples arquitecturas, incluidas x86, ARM y MIPS. Según Akamai, esto evidencia el desarrollo de los métodos de trabajo de los operadores de botnets.

La mayoría de estas redes aún utilizan los algoritmos de cifrado originales del código fuente inicial de Mirai. Sin embargo, nuevos métodos como ChaCha20 indican un aumento en el nivel de la amenaza. El informe de Akamai también presenta indicadores de compromiso (IoC) y reglas Yara que ayudarán a detectar y bloquear esta amenaza.

Los botnets modernos demuestran una creciente complejidad y adaptabilidad, convirtiendo cada vulnerabilidad en una herramienta para ataques masivos. Una defensa digital adecuada requiere no solo actualizaciones oportunas, sino también un análisis proactivo de amenazas.