El malware de la botnet DoubleDoor esquiva firewalls para instalar una puerta trasera

Share this…

La creación de botnets es algo que se encuentra a la orden del día. Expertos en seguridad de la compañía NewSky han encontrado una que puede saltarse los sistemas de seguridad de los dispositivos accesibles desde Internet para anular otras medidas de seguridad e instalar puertas traseras en los dispositivos. Estamos hablando de DoubleDoor, una botnet que según expertos cuenta con bastante proyección.

Para ser más precisos, los ciberdelincuentes se están aprovechando de dos fallos de seguridad, catalogados como CVE-2015–7755 y CVE-2016–10401. Tal y como se puede observar, son dos fallos que son antiguos. Sin embargo, tal y como sucede en muchas ocasiones, los responsables de actualizar los equipos no han hecho los deberes. Esto ha provocado que los equipos continúen siendo vulnerables.

Para ser más precisos, la primera de ellas pertenece a un fallo detectado e SmartScreen OS, disponible en los firewalls NetScreen de Juniper Networks. La segunda vulnerabilidad pertenece a un fallo existente en algunos modelos de modems del fabricante Zyxel.

Servidores, equipos de red, aplicaciones, y así hasta completar un listado amplio de “elementos” que son susceptibles a verse afectados por fallos de seguridad y que sus administradores no gestionan de forma correcta. En muchas ocasiones se ejecutan versiones de librería y de firmware desactualizadas, dando lugar a estas situaciones.

Detalles de los comienzos de la botnet DoubleDoor

Desde NewSky han aportado información de cómo han sido los inicios de la botnet. Indican que todo comenzó aprovechando el fallo de seguridad existente en los equipos NetScreen de Juniper Networks para evadir el proceso de autenticación del firewall. Aprovechando esta vulnerabilidad, los atacantes han sido capaces de acceder a servicios SSH y telnet de los equipos utilizando contraseñas que estaban disponibles en el código que forma parte del firmware. Para ser más precisos, utilizando la contraseña “<<< %s(un=’%s’) = %u”. En lo que respecta al usuario a utilizar, no es importante. Cualquiera es válido haciendo uso de esa contraseña, aunque no exista en el sistema

En el caso de los modem del fabricante Zyxel, los ciberdelincuentes se han topado de nuevo con una contraseña “hardcodeada” en el firmware de los dispositivos, permitiendo, de la misma forma que e le caso anterior, al acceso a servicios del dispositivo.

¿Qué implica el uso de este exploit?

De entrada, se consigue una escalada de privilegios en el sistema. Es decir, permisos mayores que los de un usuario de solo consulta, pero sin alcanzar permisos de administrador. Esto permitiría modificar la configuración o desactivar las medidas de protección existentes.

Desde NewSky indican que la mayoría de los ataques proceden se Corea del Sur, aunque son IPs pertenecientes a varios proxys que finalmente finalizan en un nodo de la red Tor, donde es complicado realizar un seguimiento.

Los fabricantes salen al paso

Teniendo en cuenta la importancia de esto y que la botnet se encuentra en una fase temprana, la situación puede convertirse en alarmante, sobre todo porque son equipos que se encuentran en empresas. Por este motivo, desde Zyxel han querido aclarar que existe un parche desde diciembre del pasado año que pone punto y final al problema. Sin embargo, esto es algo que ya hemos explicado anteriormente. Que exista una solución no quiere decir que los administradores de esos equipos hayan optado por su aplicación.

 Fuetne:https://www.redeszone.net/2018/02/17/malware-la-botnet-doubledoor-esquiva-firewalls-instalar-una-puerta-trasera/