Falha no roteador WiFi TP-Link Archer explorada pelo malware Mirai
26 de Abril de 2023

A botnet de malware Mirai está explorando ativamente uma vulnerabilidade no roteador WiFi TP-Link Archer A21 (AX1800), rastreada como CVE-2023-1389 , para incorporar dispositivos em enxames de DDoS (negação de serviço distribuída).

Pesquisadores abusaram dessa falha durante o evento de hacking Pwn2Own Toronto em dezembro de 2022, onde duas equipes de hackers distintas invadiram o dispositivo usando diferentes caminhos (acesso à interface LAN e WAN).

A falha foi divulgada para a TP-Link em janeiro de 2023, com a empresa lançando uma correção no mês passado em uma nova atualização de firmware.

As tentativas de exploração foram detectadas pelo Zero Day Initiative (ZDI) a partir da semana passada, inicialmente concentradas na Europa Oriental e se espalhando pelo mundo.

A vulnerabilidade CVE-2023-1389 é uma falha de injeção de comando não autenticada de alta gravidade (CVSS v3: 8,8) na API de localidade da interface de gerenciamento da web do roteador TP-Link Archer AX21.

A fonte do problema é a falta de sanitização de entrada na API de localidade que gerencia as configurações de idioma do roteador, que não valida ou filtra o que recebe.

Isso permite que atacantes remotos injetem comandos que devem ser executados no dispositivo.

Hackers podem explorar a falha enviando uma solicitação especialmente criada para o roteador que contém um payload de comando como parte do parâmetro do país, seguida por uma segunda solicitação que aciona a execução do comando.

Os primeiros sinais de exploração em ambiente real ficaram evidentes em 11 de abril de 2023 e a atividade maliciosa agora é detectada globalmente.

A ZDI relata que uma nova versão da botnet de malware Mirai agora explora a vulnerabilidade para obter acesso ao dispositivo.

Ele então baixa o payload binária apropriada para a arquitetura do roteador para recrutar o dispositivo em sua botnet.

A versão particular do Mirai está focada em lançar ataques DDoS e suas características indicam que ele se concentra principalmente em servidores de jogos, tendo a capacidade de lançar ataques contra a Valve Source Engine (VSE).

Outro aspecto interessante desta nova versão de malware é que ele pode imitar o tráfego de rede legítimo, tornando mais difícil para as soluções de mitigação DDoS distinguir entre o tráfego malicioso e legítimo para rejeitar efetivamente o tráfego lixo.

A TP-Link tentou abordar o problema em 24 de fevereiro de 2023, mas a correção foi incompleta e não impediu a exploração.

Finalmente, a fabricante de equipamentos de rede publicou uma atualização de firmware que aborda o risco do CVE-2023-1389 em 14 de março de 2023, com a versão 1.1.4 Build 20230219.

Os proprietários do roteador TP-Link Archer AX21 AX1800 de banda dupla WiFi 6 podem baixar a atualização de firmware mais recente para a versão de hardware de seu dispositivo desta página da web.

Sinais de um roteador TP-Link infectado incluem superaquecimento do dispositivo, desconexões de internet, alterações inexplicáveis nas configurações de rede do dispositivo e redefinição das senhas de usuários administradores.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...