Notícias de dispositivos móveis, gadgets, aplicativos Android

DoubleDoor – Um botnet IoT ignora o firewall usando explorações de backdoor

IoT Backdoor

Foram descobertas explorações de IoT Backdoor chamadas Doubledoor, que permitem ignorar uma segurança em camadas da IoT que leva a assumir o controle completo dos sistemas de rede de segmentação.

Os ataques cibernéticos baseados em IoT estão florescendo, pois o número de dispositivos IoT está aumentando rapidamente e os invasores sempre encontram muitas maneiras de contorná-lo.

Nesse caso, o Doubledoor Botnet tem a capacidade de ignorar a segurança de autenticação com a IoT e uma camada extra de firewall de segurança associada a ela.

Essa botnet de distribuição rápida ocorreu entre 18 de janeiro de 2018 e 27 de janeiro de 2018 e a principal origem desse ataque foi apontada para os IPs sul-coreanos.

Os usuários principalmente afetados pertencem à versão específica sem patch do firewall Juniper ScreenOS, que protege modems Zyxel sem patch.

Leia também O HNS IoT Botnet comprometeu mais de 14 mil dispositivos que se espalham da Ásia para os Estados Unidos

Como esse Backdoor da IoT da Doubledoor funciona

Há duas explorações de backdoor que são a principal responsabilidade desse ataque de IoT e cada uma delas pode explorar a segurança em camadas com o Juniper Networks SmartScreen OS e o modem Zyxel.

Inicialmente, o CVE-2015–7755 explorará a vulnerabilidade apresentada no infame SO Juniper Networks SmartScreen que leva a obter a autenticação do firewall.

Uma vez bem-sucedido, ele usará o CVE-2016-10401 e explorará o backdoor do modem Zyxel que permite que um invasor assuma o controle total do dispositivo.

IoT Backdoor

O invasor realiza acesso direto aos daemons Telnet e SSH dos firewalls da Netscreen usando uma senha codificada.

Foi implementado em honeypots com nome de usuário “NetScreen “ e a senha do backdoor.

DoubleDoor - Um botnet IoT ignora o firewall usando explorações de backdoor 1

De acordo com o Honeypot Report da newskysecurity, a saga dos backdoors não terminou aqui. Depois de ignorar a proteção por firewall, a DoubleDoor usou outra backdoor em nossos honeypots.
Dessa vez, era o CVE-2016-10401, um backdoor para dispositivos ZyXEL PK5001Z. Esse backdoor também é direto, com uma senha su codificada como zyad5001.

O ataque também realiza ataques baseados em senha desde que o CVE-2016–10401 é uma exploração de escalonamento de privilégios, também CVE-2016–10401 é usado em uma infinidade de ataques da IoT desde novembro de 2017.

Nós recomendamos:  Sony QX30 - esta câmera de lente pode substituir o seu smartphone?

Além disso, o Doubledoor IoT Backdoor usa uma sequência aleatória em todos os ataques para evitar a detecção de ataques de IoT baseada em estática e dinâmica.

Nesse caso, a falta de qualquer sequência padrão garantirá que não seja muito fácil classificar a atividade de reconhecimento como maliciosa.

Pesquisador Principal, NewSky Security ”disse:“ A camada dupla de proteção IoT é mais comum em ambientes corporativos, que não dependem da autenticação interna da IoT e gostam de protegê-la com outra camada do firewall. Embora esses dispositivos corporativos possam ter menor número, obter o controle dos roteadores do ambiente corporativo pode ser mais valioso para um invasor, pois pode levar a ataques direcionados à IoT ”

Table of Contents