El troyano Mirai tiene una vulnerabilidad que permitiría detener sus ataques
Mirai es el troyano utilizado contra dispositivos IoT que terminaron por crear la botnet con la que se lanzó el ataque DDoS contra las DNS de Dyn. Después de que su código fuese publicado a principios de octubre, el investigador en seguridad Scott Tenaglia, que trabaja en Invicea, ha descubierto que este malware contiene tres vulnerabilidades que pueden ser explotadas.
Una de esas tres vulnerabilidades es un desbordamiento de memoria que si se aprovechada permite neutralizar el ataque llevado a cabo por un bot (un dispositivo IoT infectado con Mirai), abriendo así una puerta para acabar con un complejo ataque realizado con una botnet. Sin embargo, esto no es una medida definitiva, ya que la vulnerabilidad deja el bot comprometido intacto y funcionando.
Tenaglia ha dicho que la explotación de esta vulnerabilidad no habría ayudado a acabar con el ataque DDoS contra las DNS de Dyn, pero sí podría haber desactivado las capacidades de ataque en la capa 7 (aplicación) del modelo OSI presente en Mirai. Esto es debido a que este malware es capaz de lanzar inundaciones de HTTP, así como varios ataques DDoS contra DNS, UDP, ACK, GRE IP, GRE ETH y STOMP (Simple Text Oriented Message Protocol).
En una publicación en el blog corporativo de Invicea, Tenaglia comenta que “este simple exploit es un ejemplo de defensa activa contra las botnets de IoT que podría ser usada para cualquier servicio de mitigación contra ataques DDoS, realizando la tarea de guardia contra los ataques de inundaciones de HTTP de Mirai en tiempo real. Aunque no puede ser usado para eliminar el malware de un dispositivo IoT, puede ser usado para detener un ataque originado en un dispositivo en particular”.
Aunque la explotación de la vulnerabilidad del desbordamiento de memoria en Mirai abre una puerta para la mitigación de sus ataques a nivel técnico, el tema se vuelve mucho más complejo cuando hablamos de cuestiones legales, las cuales podrían terminar poniendo a los defensores en una zona gris.
El ataque hacker de defensa contra Mirai implica la realización de cambios en los sistemas a través de varios países sin el permiso de los dueños de los dispositivos, los ISP o las empresas dedicadas a transportar datos. Con el fin de cubrirse las espaldas, Invicea ha dejado claro que no defiende los contraataques contra Mirai.
Esto deja dos vías. La primera, que grupos de hackers blancos decidan actuar por su cuenta y se dediquen, saltándose las leyes, a neutralizar los ataque de Mirai aprovechando la vulnerabilidad. La otra, que sería la vía legal, sería conseguir una orden judical que autorice la neutralización de la botnet.
Fuente: