Los piratas informáticos están utilizando una vulnerabilidad conocida en la herramienta de monitoreo de dispositivos Cacti para instalar todo tipo de malware (se abre en una pestaña nueva) en puntos finales vulnerables, han afirmado los investigadores.
Los investigadores de seguridad cibernética de The Shadowserver Foundation detectaron múltiples intentos de entregar varios programas maliciosos a través de la vulnerabilidad crítica de inyección de comandos, rastreada como CVE-2022-46169.
Al abusar de la falla, que tiene una calificación de gravedad de 9.8 (crítica), se observó que los actores de amenazas implementaban el malware Mirai, así como la red de bots IRC. Se vio a algunos actores de amenazas simplemente verificando la vulnerabilidad, posiblemente en preparación para futuros ataques.
Miles de instancias sin parchear
Mirai es un malware que se dirige principalmente a dispositivos domésticos inteligentes que ejecutan Linux, como cámaras IP y enrutadores domésticos, y los asimila a la red de bots Mirai. La red de bots se puede utilizar posteriormente para ataques de denegación de servicio distribuido (DDoS), que pueden interrumpir las operaciones y cerrar sitios web.
Se vio a la botnet IRC abriendo un shell inverso en el host y haciendo que escaneara los puertos del punto final.
En total, se observaron aproximadamente 10 intentos de explotación en la última semana.
Un informe de Censys afirma que hay más de 6000 instancias de Cacti sin parches a las que se puede acceder a través de Internet, y agrega que más de 1600 no tienen parches y, por lo tanto, son vulnerables.
“Censys ha observado 6427 hosts en Internet que ejecutan una versión de Cacti. Desafortunadamente, solo podemos ver la versión exacta del software en ejecución cuando un tema específico (amanecer) está habilitado en la aplicación web”, dijo Censys. Dicho esto, se encontraron 1.637 hosts accesibles a través de la web y vulnerables a CVE-2022-46169, la mayoría (465) con la versión 1.1.38, lanzada hace más de un año, agregó.
Además, Censys solo ha observado 26 instancias que ejecutan una versión actualizada que no era vulnerable.
Como de costumbre, la mejor manera de proteger sus dispositivos contra tales ataques es asegurarse de que todo el software esté ejecutando la última versión.
Vía: BleepingComputer (se abre en una pestaña nueva)