A mediados de noviembre se detectó un nuevo malware desarrollado en Go llamado ‘Zerobot’ que usa exploits para cerca de 21 vulnerabilidades en una variedad de dispositivos y software que incluyen phpMyAdmin, routers D-Link, cámaras Hikvisión, entre otros. Desde noviembre ha surgido una nueva versión con módulos adicionales y exploits para nuevas fallas, lo que indica que el malware está en desarrollo activo.
El objetivo del malware es capturar y agregar dispositivos comprometidos a una botnet de denegación de servicio distribuida (DDoS) para lanzar ataques masivos contra objetivos específicos.
Zerobot puede escanear la red y autopropagarse a dispositivos adyacentes, así como ejecutar comandos en Windows (CMD) o Linux (Bash).
El malware puede tener como objetivo una variedad de arquitecturas de sistemas y dispositivos, como ser: i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 y S390x.
Al momento de ser descubierto Zerobot incorporaba exploits para 21 vulnerabilidades y las usaba para obtener acceso al dispositivo. Luego descarga un script llamado «cero», que le permite propagarse a sí mismo.
Zerobot utiliza los siguientes exploits para vulnerar sus objetivos:
CVE-2014-8361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG532 router
CVE-2018-12613: phpMyAdmin (v. 4.8.x antes de v. 4.8.2)
CVE-2020-10987: Tenda AC15 AC1900 router (v. 15.03.05.19)
CVE-2020-25506: D-Link DNS-320 FW
CVE-2021-35395: Realtek Jungle SDK (v2.x hasta v3.4.14B)
CVE-2021-36260: Alguno equipos Hikvision
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-1388: F5 BIG-IP
CVE-2022-22965: Spring MVC y Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras
Además, la botnet utiliza cuatro exploits a los que no se les ha asignado un identificador (CVE). Dos de ellos apuntan a terminales GPON y enrutadores D-Link, los detalles sobre los otros dos no están claros al momento de redactar escribir este artículo.
¿Cómo funciona Zerobot?
Después de comprometer el dispositivo, Zerobot establece una conexión WebSocket al servidor de Command and Control (C2) y envía información básica sobre la víctima.
El C2 responde con uno de los siguientes comandos:
- ping – Heartbeat, para verificar la conexión
- attack – Lanza el ataque por protocolos diferentes: TCP, UDP, TLS, HTTP, ICMP
- stop – Para el ataque
- update – Instala, actuaiza y reinicia Zerobot
- enable_scan – Escanea en busca de puertos abiertos y empieza a propagarse a través de exploits o SSH/Telnet crackers
- disable_scan – Deshabilita el escaneo
- command – Ejecuta comandos de S.O. usando CMD en Windows o Bash en Linux
- kill – Elimina el programa de la botnet
El malware también utiliza un módulo «anti-kill» diseñado para evitar que finalice o elimine su proceso.
Desde su apareción por primera vez el 18 de noviembre, el desarrollador de Zerobot lo ha mejorado con ofuscación de cadenas, un módulo de copia de archivos, un módulo de autopropagación y varios exploits nuevos.