Se ha observado una nueva variante de la botnet Aquabot de malware basada en Mirai explotando activamente CVE-2024-41710, una vulnerabilidad de inyección de orden en los teléfonos SIP mitel.
La actividad fue descubierta por el equipo de inteligencia y respuesta de Akamai (SIRT), que informa que es la tercera variante de Aquabot que cae bajo su radar.
La familia de malware se introdujo en 2023 y una segunda versión que agregó mecanismos de persistencia se publicó más tarde. La tercera variante, “Aquabotv3”, introdujo un sistema que detecta señales de terminación y envía información al servidor de control y control (C2).
Akamai comenta que el mecanismo de Aquabotv3 para informar intentos de muerte es inusual para Botnets y que puede haberse agregado para dar a sus operadores un mejor monitoreo.
Fuente: Akamai
Orientación
El CVE-2024-41710 es un defecto en la inyección de comando que afecta los teléfonos SIP Mitel 6800, la serie 6900 y los teléfonos SIP SIP 6900W, generalmente utilizados en oficinas corporativas, empresas, agencias gubernamentales, hospitales, institutos de enseñanza, hoteles e instituciones financieras.
Este es un defecto en la gravedad promedio que permite que un atacante autenticado de privilegios de administración realice un ataque de inyección de argumentos debido a la desinfección por parámetros insuficientes durante el proceso de inicio, lo que provoca una ejecución arbitraria de orden.
Mitel ha publicado correcciones y un aviso de seguridad Sobre este defecto el 17 de julio de 2024, instando a los usuarios a actualizar. Dos semanas después, el investigador de seguridad Kyle Burns publicó Prueba de concepto (POC) en Github.
El uso de Aquabotv3 de este POC para operar CVE-2024-41710 en los ataques es el primer caso documentado de aprovechar esta vulnerabilidad.
“Akamai SIRT detectó intentos de explotación dirigidos a esta vulnerabilidad a través de nuestra red global de macetas de miel a principios de enero de 2025 utilizando una carga útil casi idéntica”. explica los investigadores.
El hecho de que los ataques requieren autenticación indican que el malware de Botnet utiliza forzamiento bruto para obtener acceso inicial.
Los atacantes desarrollan una solicitud posterior a HTTP dirigida al punto de terminación vulnerable 8021xsupport.html, responsable de los parámetros de autenticación 802.1x en los teléfonos SIP Mitel.
La aplicación no deriva la entrada del usuario, lo que permite la inserción de datos mal capacitados en la configuración local del teléfono (/nvdata/etc/local.cfg).
A través de la inyección de caracteres en línea (% DT →% 0D), los atacantes manipulan cómo se analiza el archivo de configuración durante el inicio del dispositivo para ejecutar un script de shell distante (bin.sh) su servidor.
Este script descarga e instala una nómina de Aquabot para arquitectura definida (x86, brazo, mips, etc.), define sus permisos de ejecución utilizando “chmod 777”, luego limpia todos los rastros.
Actividad de Aquabotv3
Una vez que se asegura la persistencia, Aquabotv3 se conecta a su C2 a través de TCP para recibir instrucciones, controles de ataque, actualizaciones o cargos útiles adicionales.
Luego, trata de extenderse a otros dispositivos IoT usando el Mitel Feat, CVE-2018-17532 (TP-Link), CVE-2023-26801 (IoT Firmware RCE), CVE-2022-31137 (APP RCE), LinkSys E -Series RCE, Hadoop Yarn y CVE-2018-10562 / CVE-2018-10561 (Bogues of the Dasan Router).
El malware también intenta forzar la información bruta o baja de identificación de SSH / Telnet para extenderse a dispositivos mal seguros en la misma red.
El objetivo de Aquabotv3 es reclutar dispositivos en su Swarm de negación de distribución (DDoS) y usarlos para hacer TCP SYN, TCP ACK, UDP, GRE IP y la capa de aplicación.
El operador de Botnet anuncia sus capacidades DDoS en Telegram bajo los nombres Cursinq Firewall, The Eye Services y The Eye Botnet, presentándolo como una herramienta de prueba para medidas de atenuación de DDoS.
Akamai ha enumerado los indicadores de compromiso (COI) asociados con Aquabotv3, así como las reglas de inhalación y yara para detectar malware, en la parte inferior de su informe.