Cámaras IP de LILIN y dispositivos NAS de Zyxel hackeados para lanzar ataques DDoS; proteja sus dispositivos IoT

Un reporte especial elaborado por expertos en cómputo forense ha sido enviado a las compañías Zyxel y LILIN luego de que se descubriera que sus dispositivos de Internet de las Cosas (IoT) están siendo comprometidos con el propósito de integrarlos a diversas botnets y desplegar ataques masivos de denegación de servicio (DoS).

La primera parte del reporte se refiere a CVE-2020-9054, una vulnerabilidad de inyección de comandos presente en las soluciones de firewall, almacenamiento conectado a la red (NAS) y VPN empresarial de la firma Zyxel. Acorde a los especialistas, un grupo de actores de amenaza está empleando Mukashi, una nueva variante del código fuente de la botnet Mirai, para infectar estos dispositivos. Los productos de Zyxel afectados están listados a continuación:

  • Dispositivos NAS: NAS326, NAS520, NAS540, NAS542
  • Firewalls, VPN empresarial, y gateways: ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310 y ZyWALL1100

En días pasados Zyxel lanzó actualizaciones de firmware para los dispositivos expuestos, por lo que se recomienda a los administradores de implementaciones afectadas actualizar a la brevedad. Además, expertos en cómputo forense emitieron algunas recomendaciones para mitigar este riesgo en caso de no poder actualizar en este momento:

  • Bloquear el acceso a la interfaz web (80/tcp y 443/tcp) de cualquier dispositivo ZyXEL vulnerable
  • No exponer un dispositivo vulnerable en Internet público

Por otra parte, se informó a LILIN que sus grabadores digitales de video (DVR) y cámaras IP han estado expuestos durante meses, situación que han aprovechado los administradores de botnets como Chalubo y FBot.

Los especialistas en cómputo forense del equipo de investigación Netlab aseguran que los administradores de estas botnets han estado explotando múltiples vulnerabilidades de inyección de comandos y lectura arbitraria de archivos para comprometer estos dispositivos. El firmware de los siguientes dispositivos debe ser actualizado:

  • Dispositivos DVR: LILIN DHD516A, LILIN DHD508A, LILIN DHD504A, LILIN DHD316A, LILIN DHD308A y LILIN DHD304A
  • Cámaras IP: LILIN DHD204, LILIN DHD204A, LILIN DHD208, LILIN DHD208A, LILIN DHD216 y LILIN DHD216A

Las actualizaciones de firmware para estos dispositivos ya fueron lanzadas por LILIN, señala el Instituto Internacional de Seguridad Cibernética (IICS). Se recomienda a los usuarios de las implementaciones afectadas actualizar lo más pronto posible.