Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

La Nueva Botnet Echobot que afecta aplicaciones Oracle WebLogic y VMware SD-Wan

  • Publicado: 16/06/2019
  • Importancia: Alta

Recursos afectados

la nueva Botnet EchoBot, busca afectar Dispositivos IoT sin parches de seguridad frente al Backdoor MIRAI y adicionalmente se validó que esta nueva Botnet utiliza 26 exploits para diferentes productos, entre los cuales se encuentran aplicaciones empresariales como lo son Oracle WebLogic y VMware SD-Wan.

Descripcion

Desde el CSIRT Financiero se pudo detectar que este nuevo malware busca afectar no solo al sector financiero sino al sector Global.

Se encontró que esta Botnet tiene una relación a la red de Malware MIRAI, la cual se especializa en infectar dispositivos del tipo IoT (Internet de las Cosas), como lo son dispositivos de almacenamiento conectados a la red (NAS), enrutadores, grabadores de video en red (NVR), cámaras IP, teléfonos IP y sistemas de presentación inalámbricos.

Por otro lado, se sabe que esta botnet inicio con 18 exploits que afectaban dispositivos IoT.  Sin embargo, dentro de su listado de vulnerabilidades que aplicaba para los ataques, existían una gran cantidad de vulnerabilidades que ya eran obsoletas en el mercado y que por temas de configuración muchos de los fabricantes ya habían solucionado en sus ultimas definiciones o actualizaciones de sistema.

Adicionalmente, para esta Botnet su funcionamiento y código fuente viene de la mano de MIRAI Backdoor, el cual era basado en atacar el protocolo telnet y SSH de máquinas Linux por medio de Fuerza bruta, la cual una vez se lograba el acceso, se iniciaba la conexión con el servidor C&C (Servidor de control y comando) del atacante. Donde posteriormente permitía al atacante la inyección de malware o código malicioso y de ese modo desarrollar ataques de tipo DDoS (Distributed Denial of Service).

Sin embargo, Esta Botnet EchoBot evoluciono y fue más allá de los dispositivos IoT es decir, se extendió a aplicaciones empresariales como es Oracle WebLogic. de tal manera llegando a afectar las versiones 10.3.6.0 y 12.1.3.0 (CVE-2019-2725 rev.4). Otra aplicación que se vio afectada es VMware NSX SD-WAN Edge en su versión 2x y 3x (CVE-2018-6961).  Las cuales permiten a los Ciberdelincuentes en el caso de Oracle WebLogic, poner en riesgo el Oracle WebLogic Server, afectando parcialmente la integridad, confidencialidad y disponibilidad de la información de los aplicativos desplegados en estos servidores de aplicaciones.  En el caso de VMware NSX SD-WAN Edge, los Ciberdelincuentes pueden a través de esta vulnerabilidad ejecutar código malicioso, realizando la inyección de comandos directamente en el componente de la interfaz del usuario Web Local para posteriormente ejecutar ataques como lo realiza MIRAI Backdoor.

Etiquetas