Investigadores de la empresa de seguridad inform\u00e1tica NewSky han indagado sobre las caracter\u00edsticas y el funcionamiento de la nueva red zombi Masuta, que tiene la particularidad de estar compuesta por routers desprotegidos.<\/p>\n
Investigadores de la empresa de seguridad inform\u00e1tica NewSky han indagado sobre las caracter\u00edsticas y el funcionamiento de la nueva red zombi Masuta, que tiene la particularidad de estar compuesta por routers desprotegidos. Los estudios develaron que los creadores de la infame red zombi Satori podr\u00edan estar detr\u00e1s de la nueva amenaza.<\/p>\n
\u201cAnalizamos dos variantes de una red zombi llamada Masuta, compuesta por objetos conectados a Internet, donde observamos la participaci\u00f3n de un atacante conocido y descubrimos que por primera se estaba explotando una vulnerabilidad en routers en las operaciones de una red zombi\u201d, dijo NewSky en su investigaci\u00f3n.<\/p>\n
Las dos variantes descubiertas por NewSky tienen algunas diferencias: por un lado est\u00e1 Masuta, que como otros programas que explotan el Internet de las Cosas, irrumpe en los dispositivos con las credenciales predeterminadas para tratar de controlarlos. Por otro lado est\u00e1 \u201cPureMasuta\u201d, una versi\u00f3n m\u00e1s sofisticada de la amenaza que explota una vieja vulnerabilidad del administrador de redes que fue descubierta en 2015 por el investigador Craig Heffner y afecta al Protocolo de Administraci\u00f3n de Redes Dom\u00e9sticas (HNAP) de D-Link.<\/p>\n
\u201cLa vulnerabilidad que se est\u00e1 utilizando en los ataques de la red zombi PureMasuta es la HNAP, que funciona con el protocolo SOAP\u201d, explic\u00f3 NewSky en su informe sobre la amenaza. \u201cSe puede elaborar una solicitud SOAP que pase por alto la autentificaci\u00f3n usando hxxp:\/\/purenetworks.com\/HNAP1\/GetDeviceSettings. Tambi\u00e9n es posible ejecutar comandos de sistema (lo que permite la ejecuci\u00f3n arbitraria de c\u00f3digo) a causa del manejo indebido de las cadenas de caracteres. Cuando se combinan ambos casos, se puede formar una solicitud SOAP que en primer lugar sobrepasa la autentificaci\u00f3n y en segundo lugar causa la ejecuci\u00f3n arbitraria de c\u00f3digo\u201d, explic\u00f3 NewSky.<\/p>\n
Como la vulnerabilidad permite que se ejecute cualquier comando desde GetDeviceSettings, los atacantes ejecutan un wget para conseguir y ejecutar los scripts necesarios para incluir el dispositivo en su red zombi y comenzar a usarlo con fines maliciosos.<\/p>\n
Al estudiar la red zombi, los investigadores se dieron cuenta de que el servidor de comando y control que usa PureMasuta (93.174.93.63) es el mismo que el de las variantes originales de Masuta, lo que significa que es una evoluci\u00f3n de esta amenaza y ambas est\u00e1n manejadas por los mismos criminales.<\/p>\n
A su vez, se cree que los operadores de Masuta tambi\u00e9n est\u00e1n a cargo de la red zombi Satori, una variante de la conocida red Mirai, que escandaliz\u00f3 al mundo de Internet en 2016 cuando se la descubri\u00f3 tratando de explotar una vulnerabilidad que se acababa de descubrir en los routers dom\u00e9sticos Huawei HG532.<\/p>\n
NetSky atribuye la red Masuta a un grupo que se conoce como \u201cNexus Zeta\u201d, que adopta el nombre de la URL de Comando y Control \u201cnexusiotsolutions(punto)net\u201d, que tambi\u00e9n utiliza la red zombi Satori.<\/p>\n
La amenaza de Masuta no para de crecer desde Septiembre y ha llegado a reclutar m\u00e1s de 2400 IPs desde entonces. Para protegerse de los nuevos ataques de Masuta y PureMasuta es necesario tomar las precauciones de seguridad b\u00e1sicas que tambi\u00e9n ayudan a proteger contra otro tipo de amenazas: cambiar la contrase\u00f1a predeterminada del dispositivo para que no sea de conocimiento p\u00fablico y asegurarse de mantener el firmware de los dispositivos actualizado para evitar que se exploten viejas vulnerabilidades.<\/p>\n