Los atacantes que usaron el EwDoor Botnet han comprometido servidores EdgeMarc no actualizados a través de la vulnerabilidad CVE-2017-6079.
La empresa estadounidense de telecomunicaciones AT&T “tomó medidas para eliminar” una botnet de más de 5.700 servidores VoIP en su red.
Todos los dispositivos infectados son controladores de borde de sesión empresarial de EdgeMarc, dijeron representantes de AT&T a The Record. Los servidores de VoIP de este tipo están diseñados para equilibrar y enrutar el tráfico de telefonía de Internet de los usuarios corporativos más pequeños a los operadores de telecomunicaciones.
Según la división Netlab del gigante tecnológico chino Qihoo 360, los atacantes piratearon servidores EdgeMarc no actualizados a través de la antigua vulnerabilidad CVE-2017-6079 e instalaron malware modular EwDoor. Todos los servidores comprometidos están ubicados en los Estados Unidos.
La compañía china de seguridad de la información anunció que ha estado rastreando la botnet EwDoor y sus ataques desde fines de octubre de 2021, y desde entonces se han lanzado al menos tres versiones del malware.
El análisis del programa malicioso ha demostrado que tiene una función de puerta trasera y permite ataques DDoS. Según los expertos de Netlab, el objetivo de los piratas informáticos es robar información confidencial de servidores vulnerables, como los registros de llamadas VoIP. Sin embargo, AT&T dice que no se han encontrado pruebas para la afirmación de Netlab.
“No tenemos evidencia de que se haya accedido a los datos del usuario”, dijo la compañía.
Según explican los especialistas de Netlab, la cifra de 5,7 mil se recibió en el corto período de visibilidad de las operaciones de la botnet el pasado 8 de noviembre.
Actualmente, hay alrededor de 100 mil dispositivos conectados a Internet que utilizan el mismo certificado SSL que los servidores VoIP de EdgeMarc, pero no se sabe cuántos de ellos son vulnerables a CVE-2017-6079.
https://www.securitylab.ru/news/527037.php