Moobot botnet se espalha explorando a falha CVE-2021-36260 em produtos Hikvision

Listen to this article

O botnet Moobot baseado em Mirai está se espalhando rapidamente explorando uma falha crítica de injeção de comando, rastreada como CVE-2021-36260 , no servidor web de vários produtos Hikvision. O Moobot foi documentado pela primeira vez por pesquisadores da Unidade 42 de Palo Alto em fevereiro de 2021, os ataques recentes demonstraram que seus autores estão aprimorando seu malware.

O problema crítico afeta mais de 70 modelos de câmeras e NVR Hikvision e pode permitir que invasores assumam os dispositivos. A vulnerabilidade é uma vulnerabilidade não autenticada de Execução Remota de Código (RCE) no firmware da câmera IP/NVR da Hikvision, foi descoberta por um pesquisador de segurança que fica online com o apelido de “Watchful IP”.

Ao comprometer a câmera IP, um invasor também pode usar o dispositivo hackeado para acessar redes internas, colocando em risco a infraestrutura que utiliza os dispositivos.

O pesquisador destacou que a exploração do problema não requer interação do usuário, o invasor só precisa acessar a porta do servidor http(s) (normalmente 80/443).

O especialista destacou que todos os firmwares desenvolvidos desde 2016 foram testados e considerados vulneráveis.

De acordo com a Hikvision, a vulnerabilidade se deve à validação de entrada insuficiente e pode ser explorada enviando mensagens especialmente criadas para dispositivos vulneráveis.

A empresa afirma que o invasor pode explorar a falha apenas se tiver acesso à rede do dispositivo ou se o dispositivo tiver interface direta com a Internet. A vulnerabilidade foi relatada ao fornecedor em junho, a empresa lançou  atualizações de firmware  em 19 de setembro.

A vulnerabilidade foi explorada por operadores de botnets para extrair dados confidenciais de dispositivos não corrigidos, relataram pesquisadores da Fortinet.

“Durante nossa análise, observamos várias cargas úteis tentando aproveitar essa vulnerabilidade para investigar o status dos dispositivos ou extrair dados confidenciais das vítimas. Uma carga em particular chamou nossa atenção. Ele tenta descartar um downloader que exibe comportamento de infecção e que também executa o Moobot, que é um botnet DDoS baseado no Mirai.” lê a análise publicada pela Fortinet.

Exploração do Moobot Hikvision

Os pesquisadores da Fortinet detectaram um downloader para o malware Moobot com o parâmetro “hikivision”, ele salva a carga final como “macHelper”.

O malware também modifica comandos básicos como “reboot” para evitar que um administrador reinicie o dispositivo infectado. 

Os pesquisadores da Fortinet encontraram semelhanças entre o Moobot e o Mirai, eles também descobriram que o Moobot empresta alguns elementos do botnet Satori .

Moobot é um botnet DDoS que suporta vários métodos de ataque.

ataque moobot hikvision 2

A análise dos dados dos pacotes capturados permitiu aos pesquisadores da Fortinet rastrear um canal de Telegram usado para anunciar serviços DDoS desde agosto.

“Embora um  patch  tenha sido lançado para resolver essa vulnerabilidade, esse botnet de IoT nunca parará de procurar um ponto final vulnerável. Por isso, os usuários devem atualizar os dispositivos afetados imediatamente, bem como aplicar a proteção FortiGuard.” conclui Fortinet.

 

 

 

 

João Marcelo de Assis Peres

joao.marcelo@guiadocftv.com.br

GuiadoCFTV

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.