Las botnets DDoS han abusado de tres días cero en grabadoras de movie LILIN durante meses


mapa del mundo cyber globe ddos ​​botnet

Al menos tres operadores de botnets han explotado en secreto tres vulnerabilidades de día cero en las grabadoras de online video electronic (DVR) LILIN durante más de seis meses antes de que el proveedor finalmente reparara los errores el mes pasado, en febrero de 2020.

Grabadoras de online video digital son dispositivos instalados en las redes de la compañía que agregan fuentes de video de los sistemas locales de cámaras de CCTV o IP y las graban en varios tipos de sistemas de almacenamiento, como HDD, SSD, unidades flash USB o tarjetas de memoria SD.

Hoy en día, los DVR son tan ubicuos en el panorama real de IoT como las cámaras de seguridad a las que sirven.

Desde principios de la década de 2010, a medida que las soluciones de CCTV comenzaron a ser populares en todo el mundo, las botnets de malware también comenzaron a apuntar a los sistemas DVR.

Los dispositivos DVR que se ejecutan con credenciales predeterminadas de fábrica o con firmware antiguo y desactualizado han sido pirateados y se ha abusado de sus recursos y ancho de banda para lanzar ataques DDoS. Varias marcas de DVR han sido la carne de cañón de cientos de diferentes botnets de IoT.

LILIN día cero explotado desde agosto de 2019

El año pasado en agosto, fue LilinEs el turno de que los hackers exploten sus dispositivos.

En una publicación de blog publicada ayer, el equipo de Netlab en la firma de seguridad china Qihoo 360 dijo que detectó tres botnets que utilizan cero días en DVR LILIN.

  1. Una vulnerabilidad en el proceso NTPUpdate permite a los atacantes inyectar y ejecutar comandos del sistema
  2. Mediante el uso de una de dos credenciales codificadas (root / icatch99 e report / 8Jg0SR8K50), un atacante puede recuperar y modificar el archivo de configuración de un DVR, y luego ejecutar comandos en el dispositivo cuando la configuración del servidor FTP (Protocolo de transferencia de archivos) se sincroniza periódicamente.
  3. Equivalent a lo anterior, pero a través del servicio NTP (Community Time Protocol).

Netlab dice que la primera botnet que explotó uno de los días cero fue el Botnet Chalubo, que comenzó a abusar de la vulnerabilidad NTPUpdate para hacerse cargo de los DVR LILIN a partir de finales de agosto del año pasado.

El segundo y tercer día cero quedaron bajo explotación activa en enero de este año. Netlab dijo que vio el Botnet FBot abusando del segundo y tercer día cero para reforzar su ejército de robots.

Dos semanas después de FBot, el Monet botnet El operador también comenzó a abusar del segundo día cero, aunque no el tercero.

Netlab no dijo qué estaban haciendo los operadores de botnets con los DVR LILIN secuestrados, pero la mayoría de estas botnets tienen un historial de lanzamiento de ataques DDoS y un historial de actuar como redes proxy y redirigir el tráfico para los malos actores.

Los investigadores de Netlab dijeron que contactaron a LILIN dos veces, primero después de los ataques de FBot y luego después de Moobot. Aunque tomó casi un mes, LILIN finalmente lanzó una actualización de firmware, junto con consejos de mitigación.

Es possible que el parche demore meses, si no años, en llegar a algunos dispositivos. Si hay un talón de Aquiles en el panorama actual de IoT, entonces es el hecho de que no hay un basic botón para actualizar el firmware en la mayoría de los dispositivos. Una vez enviados a los clientes, la gran mayoría de estos sistemas permanecen sin parchear hasta su desmantelamiento.

Al momento de escribir este artículo, más de 5,000 DVR LILIN están conectados a Internet.



Enlace a la noticia authentic