A botnet de malware Mirai está explorando ativamente uma vulnerabilidade no roteador WiFi TP-Link Archer A21 (AX1800), rastreada como
CVE-2023-1389
, para incorporar dispositivos em enxames de DDoS (negação de serviço distribuída).
Pesquisadores abusaram dessa falha durante o evento de hacking Pwn2Own Toronto em dezembro de 2022, onde duas equipes de hackers distintas invadiram o dispositivo usando diferentes caminhos (acesso à interface LAN e WAN).
A falha foi divulgada para a TP-Link em janeiro de 2023, com a empresa lançando uma correção no mês passado em uma nova atualização de firmware.
As tentativas de exploração foram detectadas pelo Zero Day Initiative (ZDI) a partir da semana passada, inicialmente concentradas na Europa Oriental e se espalhando pelo mundo.
A vulnerabilidade
CVE-2023-1389
é uma falha de injeção de comando não autenticada de alta gravidade (CVSS v3: 8,8) na API de localidade da interface de gerenciamento da web do roteador TP-Link Archer AX21.
A fonte do problema é a falta de sanitização de entrada na API de localidade que gerencia as configurações de idioma do roteador, que não valida ou filtra o que recebe.
Isso permite que atacantes remotos injetem comandos que devem ser executados no dispositivo.
Hackers podem explorar a falha enviando uma solicitação especialmente criada para o roteador que contém um payload de comando como parte do parâmetro do país, seguida por uma segunda solicitação que aciona a execução do comando.
Os primeiros sinais de exploração em ambiente real ficaram evidentes em 11 de abril de 2023 e a atividade maliciosa agora é detectada globalmente.
A ZDI relata que uma nova versão da botnet de malware Mirai agora explora a vulnerabilidade para obter acesso ao dispositivo.
Ele então baixa o payload binária apropriada para a arquitetura do roteador para recrutar o dispositivo em sua botnet.
A versão particular do Mirai está focada em lançar ataques DDoS e suas características indicam que ele se concentra principalmente em servidores de jogos, tendo a capacidade de lançar ataques contra a Valve Source Engine (VSE).
Outro aspecto interessante desta nova versão de malware é que ele pode imitar o tráfego de rede legítimo, tornando mais difícil para as soluções de mitigação DDoS distinguir entre o tráfego malicioso e legítimo para rejeitar efetivamente o tráfego lixo.
A TP-Link tentou abordar o problema em 24 de fevereiro de 2023, mas a correção foi incompleta e não impediu a exploração.
Finalmente, a fabricante de equipamentos de rede publicou uma atualização de firmware que aborda o risco do
CVE-2023-1389
em 14 de março de 2023, com a versão 1.1.4 Build 20230219.
Os proprietários do roteador TP-Link Archer AX21 AX1800 de banda dupla WiFi 6 podem baixar a atualização de firmware mais recente para a versão de hardware de seu dispositivo desta página da web.
Sinais de um roteador TP-Link infectado incluem superaquecimento do dispositivo, desconexões de internet, alterações inexplicáveis nas configurações de rede do dispositivo e redefinição das senhas de usuários administradores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...