Seguramente muchos de vosotros recordaréis cuando a finales del año pasadola botnet Mirai causaba estragos a lo largo y ancho de todo el mundo. Parecía que en materia de botnets (sobre todo en el caso de Mirai) las noticias estaban algo más tranquilas, y de repente vuelven a ser actualidad.

Según se ha publicado en Bleeping Computer Mirai vuelve a la primera plana debido a una vulnerabilidad descubierta recientemente que afecta a los equipos IoT, que puede hacer que las infecciones de esta botnet sean permanentes en lugar de desaparecer cuando el usuario los reiniciaba.

El malware que ataca a los dispositivos IoT suele desaparecer con los reinicios debido a que este procedimiento borra la memoria RAM de la máquina y la deja totalmente limpia. Dado que por ahora la mayoría de malwares del IoT se alojan ahí, es «fácil» librarse de ellas. Sin embargo, esta noticia lo cambia todo.

Al parecer los investigadores de seguridad de la firma Pen Test Partners que la han descubierto estaban estudiando las características de seguridad de 30 marcas de aparatos DVR (grabadores de vídeo digital). Y precisamente esta vulnerabilidad permitiría que Mirai sobreviviese entre reinicios.

Como es lógico, los investigadores de seguridad no han querido publicar ningún detalle sobre esta vulnerabilidad. Los expertos entienden que existen razones para creer que actores maliciosos podrían aprovecharse de sus descubrimientos para realizar actividades delictivas.

El alcance de Mirai podría aumentar gracias a esta vulnerabilidad

La investigación de Pen Test Partnerts ha revelado otros detalles que permitirían que Mirai volviese a ser relevante y aún más peligrosa de lo que era antes:

• Se pueden añadir nuevas credenciales de DVR al código de Mirai, que se podrían usar en ataques de fuerza bruta.
• Se podría usar un puerto Telnet alternativo que ciertos DVRs usan en lugar del puerto 23 (el estándar).
• Se puede ejecutar un shell remoto en algunas marcas de DVR mediante autenticación en el puerto 9527 con las credenciales «admin/[contraseña en blanco]» y «admin/123456».
• La botnet podría aprovecharse de las contraseñas que cambian a diario de una marca en particular, ya que dicha marca las publica online en su documentación.
• También se podría explotar un bug de desbordamiento del buffer que está presente en un millón de DVRs que se conectan a Internet. Los investigadores aseguran que este bug se puede explotar directamente desde el puerto 80, que contiene el servidor web incorporado del DVR. Este servidor web permite controlar estos dispositivos de forma remota.
• Un bug de directorio transversal permite que los atacantes puedan recuperar hashes de contraseñas desde DVRs remotos.

Todos estos fallos podrían provocar que Mirai volviese a la vida si se aprovechasen. Según el medio, esta familia de malware ha ido perdiendo terreno frente a otras amenazas como Persirai, BrickerBot o Hajime.