Juniper Networks advierte que los productos Session Smart Router (SSR) con contraseñas predeterminadas están siendo atacados como parte de una campaña maliciosa que implementa el malware botnet Mirai.
La compañía dijo que está emitiendo el aviso después de que «varios clientes» informaron un comportamiento anómalo en sus plataformas Session Smart Network (SSN) el 11 de diciembre de 2024.
«Estos sistemas fueron infectados con el malware Mirai y posteriormente fueron utilizados como fuente de ataques DDOS a otros dispositivos accesibles a través de su red», indicó . «Todos los sistemas afectados utilizaban contraseñas predeterminadas».
Mirai , cuyo código fuente se filtró en 2016, ha generado varias variantes a lo largo de los años. El malware es capaz de escanear en busca de vulnerabilidades conocidas, así como de credenciales predeterminadas para infiltrarse en dispositivos y alistarlos en una botnet para lanzar ataques de denegación de servicio distribuido (DDoS).
Para mitigar tales amenazas, se recomienda a las organizaciones cambiar sus contraseñas con efecto inmediato a otras más seguras y únicas (si aún no lo han hecho), auditar periódicamente los registros de acceso para detectar señales de actividad sospechosa, utilizar firewalls para bloquear el acceso no autorizado y mantener el software actualizado.
Algunos de los indicadores asociados con los ataques de Mirai incluyen escaneo de puertos inusual, intentos frecuentes de inicio de sesión SSH que indican ataques de fuerza bruta, aumento del volumen de tráfico saliente a direcciones IP inesperadas, reinicios aleatorios y conexiones desde direcciones IP maliciosas conocidas.
«Si se descubre que un sistema está infectado, la única forma segura de detener la amenaza es volver a crear una imagen del sistema, ya que no se puede determinar exactamente qué se pudo haber cambiado u obtenido del dispositivo», dijo la compañía.
El desarrollo surge luego de que el Centro de Inteligencia de Seguridad AhnLab (ASEC) revelara que los servidores Linux mal administrados, particularmente los servicios SSH expuestos públicamente, están siendo atacados por una familia de malware DDoS previamente no documentada denominada cShell.
«cShell está desarrollado en el lenguaje Go y se caracteriza por explotar herramientas de Linux llamadas screen y hping3 para realizar ataques DDoS», afirmó ASEC.
Fuente y redacción: thehackernews.com
