Em maio de 2023, surgiu uma nova botnet de DDoS-as-a-Service chamada "Condi", explorando uma vulnerabilidade nos roteadores Wi-Fi TP-Link Archer AX21 (AX1800) para construir um exército de bots para realizar ataques.
O AX1800 é um roteador Wi-Fi 6 dual-band (2,4GHz + 5GHz) baseado em Linux com largura de banda de 1,8 Gbps, usado principalmente por usuários domésticos, pequenos escritórios, lojas, cafés, etc.
O objetivo do Condi é recrutar novos dispositivos para criar uma botnet DDoS poderosa que possa ser alugada para lançar ataques em sites e serviços.
Além disso, os atores por trás do Condi vendem o código-fonte do malware, que é um método de monetização incomumente agressivo destinado a resultar em inúmeros forks do projeto com recursos diferentes.
Um novo relatório da Fortinet publicado hoje explica que o Condi visa a
CVE-2023-1389
, uma falha de injeção de comando e execução remota de código de alta gravidade não autenticada na API da interface de gerenciamento da web do roteador.
A ZDI descobriu a falha e a relatou ao fornecedor de equipamentos de rede em janeiro de 2023, com a TP-Link lançando uma atualização de segurança em março com a versão 1.1.4 Build 20230219.
O Condi é a segunda botnet DDoS a visar essa vulnerabilidade depois que o Mirai a explorou no final de abril.
Para lidar com as sobreposições de ataque, o Condi tem um mecanismo que tenta matar quaisquer processos pertencentes a botnets concorrentes conhecidas.
Ao mesmo tempo, ele também interrompe versões mais antigas de si mesmo.
Para a propagação para roteadores TP-Link vulneráveis, o malware procura IPs públicos com portas abertas 80 ou 8080 e envia uma solicitação de exploração codificada para baixar e executar um script de shell remoto que infecta o novo dispositivo.
A Fortinet menciona que, embora as amostras que analisou contivessem um scanner para
CVE-2023-1389
, também observou outras amostras do Condi usando falhas diferentes para se propagar, portanto, seus autores ou operadores podem estar experimentando nesse sentido.
Além disso, os analistas encontraram amostras que usam um script de shell com uma fonte ADB (Android Debug Bridge), indicando potencialmente que a botnet se espalha por dispositivos com uma porta ADB aberta (TCP/5555).
Presumivelmente, isso é o resultado direto de múltiplos atores de ameaças tendo comprado o código-fonte do Condi, ajustando seus ataques como acharem adequado.
Quanto às capacidades de ataque de DDoS do Condi, o malware suporta vários métodos de inundação TCP e UDP semelhantes aos do Mirai.
Amostras mais antigas também contêm métodos de ataque HTTP; no entanto, parece que foram removidos na versão mais recente do malware.
Os proprietários do roteador Wi-Fi 6 dual-band Archer AX21 AX1800 podem obter a atualização de firmware mais recente para a versão de hardware do seu dispositivo no centro de downloads da TP-Link.
Sinais de um roteador TP-Link infectado incluem superaquecimento do dispositivo, interrupções na rede, alterações inexplicáveis nas configurações de rede de um dispositivo e redefinições de senha do usuário admin.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...