Se ha observado que varios botnets de denegación de servicio distribuido (DDoS) están aprovechando una falla crítica en dispositivos Zyxel que salió a la luz en abril de 2023 para obtener control remoto de sistemas vulnerables.
La vulnerabilidad, identificada como CVE-2023-28771 (puntuación CVSS: 9.8), es una falla de inyección de comandos que afecta a múltiples modelos de firewall y que podría permitir a un actor no autorizado ejecutar código arbitrario enviando un paquete especialmente diseñado al dispositivo objetivo.
El mes pasado, la Fundación Shadowserver advirtió que la falla estaba siendo «activamente explotada para construir un botnet similar a Mirai», al menos desde el 26 de mayo de 2023, lo que indica cómo está aumentando el abuso de servidores que ejecutan software sin parches.
Los últimos descubrimientos de Fortinet indican que la vulnerabilidad está siendo oportunamente aprovechada por múltiples actores para infiltrarse en hosts susceptibles y agruparlos en un botnet capaz de lanzar ataques de denegación de servicio distribuido (DDoS) contra otros objetivos.
Esto incluye variantes del botnet Mirai, como Dark.IoT, y otro botnet apodado Katana por su autor, que tiene la capacidad de llevar a cabo ataques DDoS utilizando protocolos TCP y UDP.
La falla, rastreada como CVE-2023-28771 (puntuación CVSS: 9.8), es una vulnerabilidad de inyección de comandos que afecta a varios modelos de firewall y que podría permitir a un actor no autorizado ejecutar código arbitrario enviando un paquete especialmente diseñado al dispositivo objetivo.
El mes pasado, la Fundación Shadowserver advirtió que la vulnerabilidad estaba siendo «activamente explotada para construir un botnet similar a Mirai», al menos desde el 26 de mayo de 2023, lo que indica cómo está aumentando el abuso de servidores que ejecutan software sin parches.
Los más recientes descubrimientos de Fortinet sugieren que diversas entidades están aprovechando de manera oportunista la debilidad para vulnerar sistemas susceptibles y agruparlos en una botnet capaz de lanzar ataques DDoS contra otros objetivos.
Esta situación incluye variantes del botnet Mirai, como Dark.IoT, y otra botnet denominada Katana por su autor, la cual cuenta con capacidades para llevar a cabo ataques DDoS utilizando protocolos TCP y UDP.
La revelación se da en un contexto en el cual Cloudflare reportó un «alarmante aumento en la sofisticación de los ataques DDoS» durante el segundo trimestre de 2023, con actores de amenazas desarrollando formas novedosas de evadir la detección al «imitar de manera hábil el comportamiento de un navegador» y manteniendo bajas sus tasas de ataques por segundo.
A esto se suma la complejidad del uso de ataques de lavado de DNS para ocultar el tráfico malicioso a través de resolutores DNS recursivos de confianza y botnets de máquinas virtuales para llevar a cabo ataques DDoS de gran volumen.
Otro factor relevante que contribuye al aumento de las ofensivas DDoS es la aparición de grupos hacktivistas pro-rusos como KillNet, REvil y Anonymous Sudan (también conocido como Storm-1359) que han dirigido sus ataques principalmente hacia objetivos en Estados Unidos y Europa. No existen evidencias que vinculen a REvil con el conocido grupo de ransomware.