Las vulnerabilidades en el botnet Mirai

El botnet tiene vulnerabilidades que podrían ser explotadas contra sí mismo para frustrar los ataques DDoS.

Diseñado para reclutar los objetos conectados para participar en ataques de denegación de servicio, el famoso botnet Mirai había publicado su código fuente a principios de octubre. Al revisarlo un investigador de seguridad en Invincea encontró algunos fallos.

La explotación de una de estas vulnerabilidades podría permitir frustrar en tiempo real un ataque DDoS tipo HTTP Flood bajo el liderazgo de Mirai. Este ataque es para inundar un servidor web o una aplicaciones con peticiones HTTP GET o POST en apariencias legítimas.

El fallo en cuestión es un desbordamiento de búfer cuando el bot Mirai de un objeto conectado «infectado» participa en un ataque. Su funcionamiento puede poner fin al ataque de un bot en particular. La explicación técnica está muy bien detallada en el blog de Invincea.

Sin embargo, este logro no habría permitido frustrar el ataque contra Dyn y que dio lugar a una interrupción de acceso a una parte de la Web. De hecho, no se trataba de un tipo de ataque DDoS de tipo HTTP Flood sino DNS Flood.

Además, la hazaña plantea algunas preguntas en la medida en que se pueden hackear de nuevo los objetos conectados infectados. «No estamos abogando un contraataque. Simplemente mostramos la capacidad de utilizar una estrategia de defensa activa frente a una nueva forma de una amenaza antigua«, escribe Scott Tenaglia de Invicea.