Atacantes están utilizando un fallo de seguridad en los NAS de Zyxel para infectarlos con una nueva variante del troyano Mirai





Mukashi es el nombre que se le ha dado a la nueva variante de Mirai, el malware que infecta dispositivos IoT expuestos en Internet para añadirlos a su red de ‘bots’.

En este caso, se han detectado intentos de explotación de una vulnerabilidad para los NAS de Zyxel, identificada con CVE-2020-9054. Aunque Zyxel ya ha lanzado parches de seguridad que corrigen esta vulnerabilidad, los atacantes están tratando de aprovecharla e infectar aquellos dispositivos que aún no han sido parcheados.



Poco después de que se hiciese pública la prueba de concepto de la vulnerabilidad el mes pasado, los atacantes comenzaron a utilizar el exploit para distribuir Mukashi.



Este fallo de seguridad en los productos de Zyxel permite a un atacante ejecutar comandos en el sistema Linux de los mismos gracias a una petición HTTP que puede realizarse sin necesidad de autenticarse en el panel web de estos NAS.



Petición realizada por los atacantes para explotar la vulnerabilidad e infectar el dispositivo

En la imagen anterior podemos observar la petición que realizan los atacantes para infectar el dispositivo. Como podemos ver, se trata de una inyección de comandos que, en este caso, se aprovecha para descargar y ejecutar un script Bash que continuará con la siguiente fase de la infección.





Script descargado



Como podemos observar, el script descarga ocho binarios diferentes, uno para cada una de las posibles arquitecturas que se pueden encontrar en el dispositivo infectado. Tras descargar cada uno de ellos, se configuran correctamente los permisos y se ejecuta, de forma que solamente aquel que corresponda con la arquitectura correcta podrá ejecutarse sin problemas, mientras que el resto fallará.



Una vez infectados, los dispositivos pasan a formar parte de la ‘botnet’, y su principal objetivo es infectar nuevos dispositivos a través del uso de credenciales por defecto o poco seguras en los servicios de Telnet.





Escaneo de servidores Telnet de forma aleatoria



Una vez que se encuentra un servidor de Telnet con una contraseña poco segura, este es reportado al servidor de control para que pase a formar parte de la ‘botnet’. La conexión con el servidor de control (458419675) se realiza a través del puerto 34834.



El mensaje enviado para reportar un nuevo dispositivo encontrado y sus credenciales tiene la siguiente estructura:



<dirección IP>:23 <nombre de usuario>:<contraseña>



Además, Mukashi, enviará un mensaje al servidor de control para informar de que el dispositivo ha sido infectado y se encuentra listo a la espera de recibir comandos. Para ello envía el mensaje al puerto 4864 del servidor de control indicando si se está ejecutando como root y el primer parámetro con el que se ejecutó el malware, lo que permite identificar el método de infección (si se usó un exploit y cual) y la arquitectura del dispositivo.




Mensaje enviado al C2 tras la infección



Si eres un usuario de dispositivos NAS de Zyxel, actualiza tu dispositivo lo antes posibles para estar protegido frente a este tipo de ataques.