El malware o los códigos maliciosos han estado presentes en nuestro entorno desde hace más de 40 años, pero su uso para conseguir el control de un grupo de sistemas conectados entre sí en algo denominado “botnet” es un fenómeno relativamente nuevo. Las botnets han sido responsables de algunos de los incidentes de seguridad más costosos de los últimos 10 años, por lo que empresas de todo el mundo destinan grandes esfuerzos en derrotar a este tipo de amenazas.
Un claro ejemplo es Mirai, el botnet tras uno de los mayores ataques de denegación de servicio (DDoS) que se conocen hasta la fecha y que afectó a grandes compañías como Twitter, Netflix, Spotify o PayPal. Este malware infectó a miles de dispositivos IoT, quedándose inactivo en su interior. Los creadores de Mirai lo activaron el 21 de octubre de 2016 para atacar al proveedor de servicios DNS Dyn. Tanto sus servicios como los de sus clientes estuvieron caídos o experimentaron problemas durante horas.
Parecía que el umbral de ataque de Mirai se limitaba a los dispositivos de IoT, pero esta teoría quedó descartada tras los casos detectados posteriormente, donde los ciberdelincuentes empezaron a recurrir a Mirai para abrir un nuevo flanco de ciberataques en los dispositivos equipados con Linux. Ahora, la red de bots Mirai está intentando explotar un fallo crítico de RCE en el software F5 BIG-IP
El último objetivo de Mirai: los dispositivos BIG-IP
Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales, siendo un producto utilizado por 48 compañías que integran la lista Fortune 50.
Esta vulnerabilidad con identificador CVE-2020-5902 podría permitir a un atacante, independientemente de si está o no autenticado, con acceso de red a TMUI (también conocido como utilidad de configuración), a través del puerto de administración BIG-IP y/o Self IPs, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java arbitrariamente, lo que podría resultar en un compromiso completo del sistema.
De acuerdo con los resultados que muestra la herramienta Shodan, actualmente la cantidad de dispositivos vulnerables a la CVE-2020-5902 superan los 8.400 y en su gran mayoría están en Estados Unidos y China. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.
El downloader de la red de bots Mirai descubierto puede ser añadido a nuevas variantes de malware. La herramienta realiza un escáner en busca de BIG-IP expuestas y ataca a los sistemas vulnerables afectados por CVE-2020-5902. CVE-2020-5902 es un fallo de ejecución de código remoto (RCE) existente en la Interfaz de Usuario de Gestión de Tráfico (TMUI) de los dispositivos BIG-IP. Para explotar la vulnerabilidad, un atacante necesita enviar una solicitud HTTP al servidor que alberga la utilidad TMUI para la configuración de BIG-IP. Según los investigadores, explotar con éxito esta vulnerabilidad podría llegar a comprometer completamente el sistema y perseguir otros objetivos, como la red interna.
Para protegerse de este tipo de ciberataques, las compañías deben tomar medidas que mantengan a salvo su ciberseguridad empresarial:
- Tener un control sobre el uso de la red, los dispositivos que están conectados, es una medida muy importante. El seguimiento las 24 horas de la actividad de la red debería ser algo a tener en cuenta en toda empresa. Para ello, podemos hacer uso de herramientas de recolección de datos que detecten comportamientos anómalos y bloqueen los intentos de infiltrarse en el sistema, como hace Panda Adaptive Defense. Porque tener visibilidad de todo lo que sucede en los dispositivos de la organización contribuye a reducir al mínimo los posibles vectores de ataque.
- Contar con un sistema correctamente actualizado, con las actualizaciones y parches de seguridad al día, ya que muchos tipos de amenazas llegan a través de vulnerabilidades existentes. Para ayudar a priorizar, gestionar y desplegar los parches y actualizaciones, los clientes de Panda cuentan con Panda Patch Management. Este módulo de Panda Adaptive Defense, que no requiere de despliegues adicionales en el cliente, no solo proporciona parches y actualizaciones para sistemas operativos, sino también para cientos de aplicaciones de terceros.
- Cuidado con el correo electrónico. El email de los empleados puede ser una buena puerta de entrada cuando el atacante pretende que sea una sola persona la que infecte a sus compañeros. Por ello, cualquier empleado debe mantenerse alerta ante cualquier sospecha (incluso el supuesto email de un jefe puede ser un peligro) y no descargarse ningún archivo adjunto cuando tenga la más mínima duda sobre su contenido y fiabilidad.
- Cuidado con las descargas: a la hora de descargar de Internet es una de las puertas de entrada para malware. Hay que tener cuidado en este sentido y descargar únicamente software legítimo y desde sitios oficiales. Especialmente hay que tener cuidado con las descargas P2P, ya que es uno de los medios para llevar a cabo este tipo de ataques.
Y es que si algo caracteriza a los ataques de botnets es su sigilo y silencio… Por ello, la prevención y el contraataque también deben ser proactivos, vigilando cualquier proceso del sistema informático de la compañía para proteger su ciberseguridad empresarial.