Recientes investigaciones realizadas por Fortinet FortiGuard Labs y Palo Alto Networks Unit 42 han puesto en evidencia que actores maliciosos están aprovechando vulnerabilidades de seguridad en dispositivos DVR de TBK y en routers Wi-Fi de TP-Link que han llegado al final de su vida útil (EoL, por sus siglas en inglés) para desplegar variantes de la botnet Mirai en dispositivos comprometidos. Este hallazgo no solo resalta la persistencia de las amenazas en el ecosistema de Internet de las Cosas (IoT), sino que también subraya la importancia de la ciberseguridad en la actualidad, considerando que millones de estos dispositivos se utilizan en hogares y empresas en todo el mundo.
El ataque dirigido a los dispositivos DVR de TBK se centra en una vulnerabilidad específica catalogada como CVE-2024-3721, que posee un puntaje CVSS de 6.3, lo que la clasifica como de severidad media. Esta vulnerabilidad permite la inyección de comandos, lo que significa que un atacante puede ejecutar comandos arbitrarios en el dispositivo afectado a través de solicitudes maliciosas. La técnica de inyección de comandos es un método comúnmente utilizado en ataques cibernéticos, donde el atacante explota la falta de validación adecuada de las entradas para ejecutar código no autorizado. Por lo tanto, una vez que se obtiene acceso a un dispositivo vulnerable, se amplían las posibilidades de comprometer la red y realizar acciones maliciosas adicionales.
El impacto de estas vulnerabilidades es significativo, dado que tanto los DVR como los routers son componentes críticos en la infraestructura de redes domésticas y empresariales. La explotación de CVE-2024-3721 no solo pone en riesgo la integridad de los dispositivos afectados, sino que también permite a los atacantes integrar esos dispositivos en redes de botnets, como la de Mirai, que ha sido responsable de algunos de los ataques DDoS más devastadores de la historia. La capacidad de un atacante para tomar el control de un número creciente de dispositivos IoT significa que la magnitud de un ataque puede escalar rápidamente, lo que representa una amenaza seria tanto para la disponibilidad de servicios online como para la privacidad de los usuarios.
Históricamente, la botnet Mirai ha sido famosa por su capacidad de comprometer dispositivos IoT, aprovechando vulnerabilidades similares en routers y cámaras de seguridad. Desde su aparición en 2016, Mirai ha evolucionado y sus variantes se han adaptado para explotar nuevas vulnerabilidades, lo que indica que la amenaza sigue siendo relevante y en constante evolución. Este ciclo de explotación resalta la necesidad de una vigilancia continua y de una respuesta proactiva frente a nuevas vulnerabilidades que puedan surgir.
Para mitigar los riesgos asociados con la explotación de CVE-2024-3721 y otras vulnerabilidades similares, se recomienda a los usuarios y administradores de red que implementen varias medidas de seguridad. En primer lugar, es crucial mantener todos los dispositivos actualizados con los últimos parches de seguridad proporcionados por los fabricantes. Esto es particularmente importante en el caso de los dispositivos que han alcanzado su final de vida útil, ya que, en muchos casos, los fabricantes dejan de proporcionar actualizaciones, dejando a los dispositivos expuestos a riesgos. Además, se aconseja deshabilitar funciones innecesarias en los dispositivos y cambiar las credenciales de acceso predeterminadas por contraseñas robustas y únicas.
En conclusión, la explotación de vulnerabilidades como CVE-2024-3721 en dispositivos TBK DVR y routers TP-Link EoL pone de manifiesto la constante amenaza que representan los actores maliciosos en el ámbito de la ciberseguridad. La atención a la seguridad de los dispositivos IoT es fundamental, no solo para proteger la integridad de los sistemas individuales, sino también para salvaguardar la estabilidad y la seguridad de la infraestructura de Internet en su conjunto.