Uma nova variante do malware botnet baseado em Mirai, chamada Aquabot, foi detectada explorando ativamente a vulnerabilidade
CVE-2024-41710
, que é uma vulnerabilidade de injeção de comandos nos telefones SIP da Mitel.
A atividade foi descoberta pelo Security Intelligence and Response Team (SIRT) da Akamai, que informa ser esta a terceira variante de Aquabot a entrar em seu radar.
Essa família de malware foi introduzida em 2023, e uma segunda versão com mecanismos de persistência foi lançada posteriormente.
A terceira variante, 'Aquabotv3', introduziu um sistema que detecta sinais de término e envia as informações para o servidor de comando e controle (C2).
A Akamai comenta que o mecanismo de Aquabotv3 para relatar tentativas de interrupção é incomum para botnets e pode ter sido adicionado para proporcionar uma melhor monitoração por seus operadores.
O
CVE-2024-41710
é uma falha de injeção de comandos que afeta os telefones SIP das séries Mitel 6800, 6900 e 6900w, normalmente utilizados em escritórios corporativos, empresas, agências governamentais, hospitais, instituições de ensino, hotéis e instituições financeiras.
É uma falha de gravidade média que permite a um atacante autenticado com privilégios de administrador realizar um ataque de injeção de argumentos devido à sanitização insuficiente de parâmetros durante o processo de inicialização, resultando na execução arbitrária de comandos.
A Mitel lançou correções e um aviso de segurança sobre essa falha em 17 de julho de 2024, instando os usuários a atualizar.
Duas semanas depois, o pesquisador de segurança Kyle Burns publicou um proof-of-concept (PoC) no GitHub.
A utilização desse PoC pelo Aquabotv3 para explorar o
CVE-2024-41710
em ataques é o primeiro caso documentado de aproveitamento dessa vulnerabilidade.
"A Akamai SIRT detectou tentativas de exploração visando essa vulnerabilidade através de nossa rede global de honeypots no início de janeiro de 2025, utilizando um payload quase idêntico ao PoC", explicam os pesquisadores.
O fato de os ataques exigirem autenticação indica que a botnet de malware utiliza força bruta para obter acesso inicial.
Os atacantes elaboram uma solicitação HTTP POST visando o ponto vulnerável 8021xsupport.html, responsável pelas configurações de autenticação 802.1x nos telefones SIP da Mitel.
A aplicação processa indevidamente a entrada do usuário, permitindo a inserção de dados malformados na configuração local do telefone (/nvdata/etc/local.cfg).
Por meio da injeção de caracteres de fim de linha (%dt → %0d), os atacantes conseguem manipular a forma como o arquivo de configuração é analisado durante a inicialização do dispositivo para executar um script shell remoto (bin.sh) do seu servidor.
Esse script baixa e instala um payload do Aquabot para a arquitetura definida (x86, ARM, MIPS, etc.), define suas permissões de execução usando 'chmod 777' e, em seguida, limpa quaisquer rastros.
Uma vez garantida a persistência, o Aquabotv3 conecta-se ao seu C2 via TCP para receber instruções, comandos de ataque, atualizações ou payloads adicionais.
Em seguida, tenta se espalhar para outros dispositivos IoT utilizando o exploit do Mitel,
CVE-2018-17532
(TP-Link),
CVE-2023-26801
(IoT firmware RCE),
CVE-2022-31137
(Web App RCE), Linksys E-series RCE, Hadoop YARN e
CVE-2018-10562
/
CVE-2018-10561
(bugs de roteadores Dasan).
O malware também tenta forçar bruta nas credenciais padrão ou fracas de SSH/Telnet para se espalhar para dispositivos mal protegidos na mesma rede.
O objetivo do Aquabotv3 é recrutar dispositivos para seu enxame de denial of service (DDoS) e usá-los para realizar ataques TCP SYN, TCP ACK, UDP, GRE IP e ataques de camada de aplicativo.
O operador do botnet anuncia suas capacidades de DDoS no Telegram sob os nomes Cursinq Firewall, The Eye Services e The Eye Botnet, apresentando-o como uma ferramenta de teste para medidas de mitigação de DDoS.
A Akamai listou os indicadores de comprometimento (IoC) associados ao Aquabotv3, bem como regras Snort e YARA para detecção do malware, no final de seu relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...