Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
FortiGuard Labs publicó la explotación de vulnerabilidades identificadas como CVE-2022-46169 (puntuación CVSS: 9,8) y CVE-2021-35394 (puntuación CVSS: 9,8) para entregar MooBot y ShellBot (también conocido como PerlBot).
CVE-2022-46169 se refiere a un fallo crítico de omisión de autenticación e inyección de comandos en servidores Cacti que permite a un usuario no autenticado ejecutar código arbitrario. CVE-2021-35394 también se refiere a una vulnerabilidad de inyección de comandos arbitrarios que afecta al SDK Jungle de Realtek y que fue parcheada en 2021.
Si bien este último ha sido explotado previamente para distribuir botnets como Mirai, Gafgyt, Mozi y RedGoBot, el desarrollo marca la primera vez que se ha utilizado para desplegar MooBot, una variante de Mirai que se sabe que está activa desde 2019.
El fallo en Cacti, además de ser aprovechado para ataques MooBot, también es usado para cargas útiles ShellBot desde enero de 2023, cuando el problema salió a la luz.
Se han detectado al menos tres versiones diferentes de ShellBot, a saber, PowerBots (C) GohacK, LiGhT's Modded perlbot v2 y B0tchZ 0.2a, las dos primeras reveladas recientemente por el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC).
Las tres variantes son capaces de orquestar ataques distribuidos de denegación de servicio (DDoS). PowerBots (C) GohacK y B0tchZ 0.2a también cuentan con capacidades de puerta trasera para llevar a cabo cargas/descargas de archivos y lanzar un shell inverso. Las víctimas comprometidas pueden ser controladas y utilizadas como bots DDoS tras recibir una orden de un servidor C2.
Recursos afectados
Las versiones afectadas son:
- Cacti v1.2.22 y anteriores
Solución
Se debe actualizar Cacti a la versión v1.2.23, v1.3.0 o superior
Recomendaciones
Debido a que MooBot despliega ataques de fuerza bruta se recomienda a los administradores utilizar contraseñas seguras y cambiarlas periódicamente.