Llegamos a ustedes gracias a:



Noticias

Informe: Mirai intenta expandir sus tentáculos a las SD-WAN

[18/06/2019] Mirai -el software que ha secuestrado cientos de miles de dispositivos conectados a Internet para lanzar ataques masivos de DDoS- ahora va más allá de reclutar solo productos de IoT; también incluye código que busca explotar una vulnerabilidad en el equipo SD-WAN corporativo.

Ese equipo específico -la línea SDX de dispositivos SD-WAN de VMware- ahora tiene una versión de software actualizada que corrige la vulnerabilidad, pero al apuntar a ella, los autores de Mirai muestran que ahora miran más allá de alistar cámaras de seguridad y decodificadores y buscan cualquier dispositivo conectado vulnerable, incluyendo equipos de red empresariales.

"Asumo que vamos a ver a Mirai recolectando tantos dispositivos como pueda", señaló Jen Miller-Osborn, subdirectora de investigación de amenazas en la Unidad 42 de Palo Alto Networks, que recientemente publicó un informe sobre Mirai.

Aunque la hazaña contra los dispositivos SD-WAN fue un punto de partida para Mirai, no representa un cambio radical en la forma en que sus autores abordan su trabajo, según Miller-Osborn.

La idea, dijo, es simplemente añadir cualquier dispositivo a la red de bots, independientemente de cuáles sean. El hecho de que los dispositivos SD-WAN fueran atacados se refiere más a aquellos dispositivos particulares que tienen una vulnerabilidad que a cualquier otra cosa que tenga que ver con sus capacidades SD-WAN.

La vulnerabilidad en sí misma fue descubierta el año pasado por investigadores independientes que la revelaron responsablemente a VMware, que la arregló en una versión posterior del software. Pero los medios para explotar la debilidad, sin embargo, están incluidos en una nueva variante de Mirai recientemente descubierta, según el informe de la Unidad 42.

Los autores detrás de Mirai actualizan periódicamente el software para añadir nuevos objetivos a la lista, según la Unidad 42, y la táctica original de simplemente apuntar a dispositivos que ejecutan credenciales por defecto, ha dado paso a una estrategia que también explota las vulnerabilidades en una amplia gama de dispositivos diferentes. La variante actualizada del software malicioso incluye un total de ocho ataques nuevos a Mirai.

La versión corregida de VMware SD-WAN es SD-WAN Edge 3.1.2. La vulnerabilidad sigue afectando a SD-WAN Edge 3.1.1 y anteriores, según un aviso de seguridad de VMware. Después de que el informe de la Unidad 42 salió a la luz, VMware publicó un blog que dice que está llevando a cabo su propia investigación sobre el asunto.

La detección de si una implementación de SD-WAN determinada se ha visto comprometida depende en gran medida del grado de monitorización existente en la red. Cualquier producto que le dé al personal de TI la capacidad de notar tráfico inusual hacia o desde un dispositivo afectado, podría marcar esa actividad. De lo contrario, podría ser difícil saber si algo anda mal, señaló Miller-Osborne. "Honestamente, puede que no se dé cuenta a menos que empiece a ver un éxito en la actuación o que un actor externo se lo notifique".