El  Equipo de Respuesta e Ingeniería de Seguridad de Netscout Arbor (ASERT) ha estado monitoreando los intentos de explotación de la vulnerabilidad Hadoop YARN y sorpresivamente encontró un payload familiar a Mirai, que se comporta como las originales, pero están diseñadas para funcionar en servidores Linux y no en dispositivos IoT. Esta es la primera vez que observa a Mirai fuera de IoT.

Los Botmasters, o administradores de Bots han adquirido gran conocimiento sobre el desarrollo de malware para Internet de las cosas (IoT) y ahora han cambiado su enfoque hacia los servidores Linux. Al igual que muchos dispositivos IoT, los servidores Linux sin actualizaciones permanecen en la red, y los atacantes abusan de ellos a gran escala y enviando exploits a todos los servidores vulnerables que puedan encontrar.

Su objetivo es claro: instalar malware en tantos dispositivos como sea posible. Una vez que se ha establecido Mirai en un servidor Linux se comporta como un bot de IoT y comienza a utilizar nombres de usuario y contraseñas de telnet por medio de un ataque de fuerza bruta. Lo diferente es que, entre los dispositivos pequeños y diminutos de la botnet, ahora se encuentran servidores Linux de  gran potencia.

Si encuentra con éxito un dispositivo vulnerable, en lugar de instalar directamente el malware en la víctima, informa la dirección IP, el nombre de usuario y la contraseña a un servidor de reporte, donde el atacante puede automatizar la instalación del bot.

Los servidores Linux en los centros de datos tienen acceso a más ancho de banda que los dispositivos IoT en redes residenciales, lo que los convierte en un bot de DDoS mucho más eficiente. Una cantidad  de servidores Linux con muchos recursos pueden generar ataques que compitan con una red grande de bots de IoT.

Mirai ya no está apuntando únicamente a dispositivos IoT. Si bien las técnicas utilizadas para entregar Mirai a los servidores tanto de IoT como de Linux pueden ser similares, para los atacantes es mucho más fácil ahora atacar servidores de Linux x86 que toda la gama de CPU utilizadas en los dispositivos de IoT.

Cómo funciona la vulnerabilidad Hadoop YARN

La vulnerabilidad de Hadoop YARN es relativamente simple: una falla de inyección de comandos  permite al atacante ejecutar comandos shell arbitrarios y en muchos aspectos, esta falla es similar a otras que hemos visto explotadas en dispositivos IoT.

La red global de ASERT de Netscout Arbor  ha estado siguiendo los intentos de explotar la vulnerabilidad de Hadoop YARN y  hay decenas de miles de intentos de explotación por día.

La gran cantidad de intentos de explotación, provenientes de una pequeña cantidad de fuentes, junto con el hecho de que ninguna de los payloads del malware que se han visto intentan propagarse como gusano utilizando la vulnerabilidad Hadoop YARN, y ninguno de los payloads utiliza el lenguaje de programación Python, le ha llevado al equipo de ASERT  a especular que un pequeño número de atacantes escanean manualmente Internet para aprovechar esta vulnerabilidad.

Los payloads que se han visto son todos de funcionalidades idénticas: se saca un binario de malware de una URL y se ejecuta. Lo que difiere es qué malware se entrega en el exploit. Para el mes de noviembre, han observado 225 binarios únicos entregados. 152 – más de la mitad – de los binarios se entregan con una sola dirección de origen. Al menos una docena de las muestras que han examinado son claramente variantes de Mirai.