Las botnets DDoS han abusado de tres días cero en las grabadoras de video LILIN durante meses

Al menos tres operadores de botnets han explotado en secreto tres vulnerabilidades de día cero en las grabadoras de video digital (DVR) LILIN durante más de seis meses antes de que el proveedor finalmente reparara los errores el mes pasado, en febrero de 2020. Las grabadoras de video digital son dispositivos instalados en las redes de la compañía que agregan fuentes de video de los sistemas locales de cámaras de CCTV o IP y las graban en varios tipos de sistemas de almacenamiento, como HDD, SSD, unidades flash USB o tarjetas de memoria SD. Hoy en día, los DVR son tan ubicuos en el panorama actual de IoT como las cámaras de seguridad a las que sirven.
Desde principios de la década de 2010, a medida que las soluciones de CCTV comenzaron a ser populares en todo el mundo, las botnets de malware también comenzaron a apuntar a los sistemas DVR. Los dispositivos DVR que se ejecutan con credenciales predeterminadas de fábrica o con firmware antiguo y desactualizado han sido pirateados y se ha abusado de sus recursos y ancho de banda para lanzar ataques DDoS. Varias marcas de DVR han sido la carne de cañón de cientos de diferentes botnets de IoT.
El año pasado, en agosto, fue el turno de LILIN de que sus piratas informáticos explotaran sus dispositivos. En una publicación de blog publicada ayer, el equipo de Netlab en la firma de seguridad china Qihoo 360 dijo que detectó tres botnets que utilizan cero días en DVR LILIN. Netlab dice que la primera botnet que explotó uno de los días cero fue la botnet Chalubo, que comenzó a abusar de la vulnerabilidad NTPUpdate para hacerse cargo de los DVR LILIN a partir de finales de agosto del año pasado.
El segundo y tercer día cero quedaron bajo explotación activa en enero de este año. Netlab dijo que vio a la botnet FBot abusando del segundo y tercer día cero para reforzar su ejército de bots. Dos semanas después de FBot, el operador de botnets de Moobot también comenzó a abusar del segundo día cero, aunque no el tercero.
Netlab no dijo qué estaban haciendo los operadores de botnets con los DVR LILIN secuestrados, pero la mayoría de estas botnets tienen un historial de lanzamiento de ataques DDoS y un historial de actuar como redes proxy y redirigir el tráfico para los malos actores. Los investigadores de Netlab dijeron que contactaron a LILIN dos veces, primero después de los ataques de FBot y luego después de Moobot. Aunque tomó casi un mes, LILIN finalmente lanzó una actualización de firmware, junto con consejos de mitigación.
Es probable que el parche demore meses, si no años, en llegar a algunos dispositivos. Si hay un talón de Aquiles en el panorama actual de IoT, entonces es el hecho de que no hay un simple botón para actualizar el firmware en la mayoría de los dispositivos. Una vez que se envían a los clientes, la gran mayoría de estos sistemas permanecen sin parchear hasta su desmantelamiento.
Al momento de escribir este artículo, más de 5,000 DVR LILIN están conectados a Internet. pag VER GALERÍA COMPLETA.