Una variante de la red de bots Mirai llamada Murdoc ha estado atacando activamente cámaras AVTECH y routers Huawei HG532 en una campaña masiva desde al menos julio de 2024, descubierta por investigadores de amenazas de Qualys. Aprovecha dos vulnerabilidades conocidas para obtener RCE y desplegar malware en los dispositivos comprometidos:
- CVE-2024-7029una vulnerabilidad de inyección de comandos no parcheable que afecta a las cámaras IP AVTECH de última generación. Esta CVE también ha sido objetivo de la variante Corona Mirai, de la que informamos el año pasado (https://censys.com/cve-2024-7029/)
- CVE-2017-17215, una vulnerabilidad de ejecución arbitraria de comandos en los routers Huawei HG532.
Observaciones actuales:
Desde el 22 de enero, los escaneos de Censys revelan 221 hosts infectados con Murdoc concentrados en Indonesia, Estados Unidos y Taiwán. Otras fuentes hablan de más de 1.300 infecciones, pero es probable que estas cifras estén sobrevaloradas. Incluyen hosts "truncados" y pseudoservicios que responden en más de 100 puertos abiertos, un comportamiento que excede los estándares razonables y que probablemente no refleja a los hosts auténticos.
93 de ellos muestran indicios de ser servidores de comando y control (C2) de Mirai que se dirigen a otros dispositivos vulnerables para seguir distribuyendo el malware.
Una cámara AVTECH comprometida que actúa como Mirai C2
Censys Consulta de búsqueda de hosts infectados por Murdoc: services.http.response.body: "murdoc_botnet"
Censys Consulta de búsqueda de C2 de Murdoc (Mirai): services.http.response.body: "murdoc_botnet" and services.http.response.body:"$(echo -ne"
Los sensores de GreyNoise han detectado intentos de explotación de los dos CVE atacados por Murdoc, incluyendo 17 IPs maliciosas distintas dirigidas a la vulnerabilidad de la cámara AVTECH y la friolera de 37.796 IPs maliciosas dirigidas a la vulnerabilidad del router Huawei HG532.
La actividad maliciosa dirigida a CVE-2017-17215 en los últimos 10 días alcanzó su punto álgido el 16 de enero, según los datos de GreyNoise
Todavía hay más de 36,182 cámaras AVTECH expuestas en Internet. Aunque no todas son necesariamente vulnerables a CVE-2024-7029, estos dispositivos están descatalogadosya no reciben actualizaciones de seguridad, y no deben ser expuestos a la Internet pública.
¿Qué se puede hacer?
Es fundamental que las organizaciones y los particulares protejan estos dispositivos de inmediato, ya sea aislándolos de las redes externas o sustituyéndolos por hardware compatible.
IoCs:
Referencias:
