Zerobot, una red de bots que infecta varios dispositivos de Internet de las cosas (IoT) y los usa para ataques de denegación de servicio distribuido (DDoS), se ha actualizado con nuevas funciones y nuevos mecanismos de infección.
Un informe (se abre en una pestaña nueva) del equipo de seguridad de Microsoft afirma que el malware utilizado para integrar dispositivos IoT en la botnet ha alcanzado la versión 1.1.
Con esta actualización, Zerobot ahora puede aprovechar las fallas encontradas en Apache y Apache Spark para comprometer varios puntos finales y luego usarlos en los ataques. Las fallas utilizadas para implementar Zerobot se rastrean como CVE-2021-42013 y CVE-2022-33891.
Abusando de las fallas de Apache
CVE-2021-42013 es en realidad una actualización de la corrección anterior, diseñada para parchear CVE-2021-41773 en Apache HTTP Server 2.4.50.
Como esto último fue insuficiente, permitió a los actores de amenazas usar un ataque transversal de ruta para asignar URL a archivos fuera de los directorios configurados por directivas similares a Alias, explica el sitio cve.mitre.org. “Si los archivos fuera de estos directorios no están protegidos por la configuración predeterminada habitual «requerir todos los denegados», estas solicitudes pueden tener éxito. Si los scripts CGI también están habilitados para estas rutas con alias, esto podría permitir la ejecución remota de código. Este problema solo afecta a Apache 2.4.49 y Apache 2.4.50 y no a versiones anteriores”.
CVE-2022-33891, por otro lado, afecta la interfaz de usuario de Apache Spark y permite a los atacantes realizar ataques de suplantación al proporcionar un nombre de usuario arbitrario y, en última instancia, permite a los atacantes ejecutar comandos de shell arbitrarios. Esto afecta las versiones 3.0.3 y anteriores de Apache Spark, las versiones 3.1.1 a 3.1.2 y las versiones 3.2.0 a 3.2.1, explicó cve.mitre.org.
La nueva versión de Zerobot también viene con nuevas capacidades de ataque DDoS, explicó Microsoft. Estas capacidades permiten a los actores de amenazas apuntar a diferentes recursos y hacerlos inaccesibles. En casi todos los ataques, afirma el informe, el puerto de destino es personalizable, lo que permite a los actores de amenazas que compran el malware modificar el ataque como mejor les parezca.