Pelo menos seis operações distintas de malware botnet estão em busca de roteadores TP-Link Archer AX21 (AX1800) vulneráveis a um problema de injeção de comandos de segurança relatado e resolvido no ano passado.
Identificada como
CVE-2023-1389
, a falha é um problema grave de injeção de comandos não autenticada na API de local, acessível através da interface web de gerenciamento do TP-Link Archer AX21.
Vários pesquisadores a descobriram em janeiro de 2023 e a relataram ao fornecedor por meio da Iniciativa Zero-Day (ZDI).
A TP-Link abordou o problema com o lançamento de atualizações de segurança de firmware em março de 2023.
Códigos de exploração de conceito de prova surgiram logo após os avisos de segurança se tornarem públicos.
Após isso, equipes de cibersegurança alertaram sobre múltiplos botnets, incluindo três variantes do Mirai (1, 2, 3) e um botnet chamado "Condi", que visavam dispositivos não corrigidos.
Ontem, a Fortinet emitiu outro aviso dizendo que observou um aumento na atividade maliciosa explorando a vulnerabilidade, notando que ela se originou de seis operações de botnet.
Os dados de telemetria da Fortinet mostram que a partir de março de 2024, as tentativas de infecção diárias explorando o
CVE-2023-1389
frequentemente ultrapassaram 40.000 e chegaram a 50.000.
Cada um desses botnets utiliza diferentes métodos e scripts para explorar a vulnerabilidade, estabelecer controle sobre os dispositivos comprometidos e comandá-los a participar em atividades maliciosas, como ataques de negação de serviço distribuído (DDoS).
Confira abaixo:
-AGoent: Faz o download e executa scripts que baixam e executam arquivos ELF de um servidor remoto, depois apaga os arquivos para esconder rastros.
-Variante Gafgyt: Especializa-se em ataques DDoS, baixando scripts para executar binários Linux e mantendo conexões persistentes com servidores C&C.
-Moobot: Conhecido por iniciar ataques DDoS, ele busca e executa um script para baixar arquivos ELF, executa-os com base na arquitetura e, em seguida, remove rastros.
-Miori: Utiliza HTTP e TFTP para baixar arquivos ELF, executa-os e usa credenciais codificadas para ataques de força bruta.
-Variante Mirai: Baixa um script que, subsequentemente, busca arquivos ELF, os quais são comprimidos usando UPX.Monitora e encerra ferramentas de análise de pacotes para evitar detecção.
-Condi: Usa um script de download para aumentar as taxas de infecção, previne reinicializações do dispositivo para manter a persistência, e verifica e encerra processos específicos para evitar detecção.
O relatório da Fortinet indica que, apesar da liberação de uma atualização de segurança pelo fornecedor no ano passado, um número significativo de usuários continua a usar firmware desatualizado.
Usuários do roteador TP-Link Archer AX21 (AX1800) são aconselhados a seguir as instruções de atualização de firmware do fornecedor, disponíveis aqui.
Eles também devem alterar as senhas administrativas padrão para algo único e longo, e desativar o acesso web ao painel de administração se não for necessário.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...