Confira !!
Várias vulnerabilidades de zero daty foram encontradas em gravadores de vídeo digital (DVRs) para os sistemas de vigilância fabricados pela LILIN de Taiwan foram exploradas por operadores de botnet para infectar e cooptar dispositivos vulneráveis em uma família de bots de negação de serviço.
As descobertas vêm da equipe Netlab da empresa de segurança chinesa Qihoo 360 , que afirma que diferentes grupos de ataque usam vulnerabilidades de dia zero do LILIN DVR para espalhar botnets de Chalubo , FBot e Moobot pelo menos desde 30 de agosto de 2019.
Os pesquisadores da Netlab disseram ter alcançado para LILIN em 19 de janeiro de 2020, embora apenas um mês depois o fornecedor tenha lançado uma atualização de firmware (2.0b60_20200207) abordando as vulnerabilidades.
O desenvolvimento ocorre quando os dispositivos IoT estão sendo cada vez mais usados como superfície de ataque para iniciar os ataques DDoS e como proxies para se envolver em várias formas de crime cibernético.
Sobre o que são os zero days do LILIN?
A falha em si mesma diz respeito a uma cadeia de vulnerabilidades que usam credenciais de login codificadas (root / icatch99 e report / 8Jg0SR8K50), potencialmente concedendo a um invasor a capacidade de modificar o arquivo de configuração de um DVR e injetar comandos de backdoor quando o servidor FTP ou NTP configurações são sincronizadas.
Em um cenário separado, os pesquisadores descobriram que o processo responsável pela sincronização de horário NTP (NTPUpdate) não verifica caracteres especiais no servidor transmitidos como entrada, possibilitando aos invasores injetar e executar comandos do sistema.
A versão recém corrigida corrige as falhas, validando o nome do host para impedir a execução do comando.
Aplicar senhas fortes
A Netlab disse que os operadores por trás da botnet Chalubo foram os primeiros a explorar a vulnerabilidade NTPUpdate para seqüestrar os DVRs LILIN em agosto passado. Posteriormente, a botnet do FBot foi encontrada usando as falhas de FTP / NTP no início de janeiro. Duas semanas depois, o Moobot começou a se espalhar pela vulnerabilidade de FTP de 0 dias do LILIN.
Os pesquisadores disseram ter procurado o LILIN duas vezes, primeiro após os ataques do FBot e, em seguida, uma segunda vez após as infecções pelo Moobot.
Embora o Netlab não tenha entrado em detalhes sobre os motivos por trás das infecções, não seria surpreendente se eles fossem usados por atores de ameaças para executar ataques de negação de serviço distribuído (DDoS) em sites e serviços DNS.
"Os usuários do LILIN devem verificar e atualizar seus firmwares de dispositivos em tempo hábil, e fortes credenciais de login para o dispositivo devem ser aplicadas", disseram os pesquisadores da Netlab.
Até a próxima !!
Nenhum comentário:
Postar um comentário