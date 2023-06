Una nuova botnet, denominata Condi, ha sfruttato la vulnerabilità CVE-2023-1389 dei router TP-Link Archer AX21 per effettuare attacchi DDoS (Distributed Denial-of-Service). La stessa vulnerabilità è stata utilizzata dalla botnet Mirai a fine aprile. Il produttore cinese ha rilasciato la patch a marzo, ma non tutti hanno installato il nuovo firmware.

Armata di bot con TP-Link Archer AX21

Condi è una botnet DDoS-as-a-Service, quindi viene “noleggiata” da cybercriminali differenti da quelli che l’hanno creata. Gli autori di Condi vendono anche il codice sorgente per incrementare i guadagni illeciti. La vulnerabilità CVE-2023-1389, scoperta dai ricercatori di ZDI all’inizio di gennaio e presente nell’interfaccia di gestione, permette di eseguire codice arbitrario (senza autenticazione) sui router TP-Link Archer AX21.

I cybercriminali effettuato la scansione online degli indirizzi IP pubblici sulle porte 80 e 8080. Quando trovano un router vulnerabile installano il client di Condi che consente di prendere il controllo del dispositivo. La botnet non può sopravvivere al riavvio del router, quindi cancella tutti i file che servono per il riavvio e lo spegnimento. Inoltre termina tutti i processi di botnet concorrenti.

Gli operatori della botnet possono avviare diversi tipi di attacchi DDoS, tra cui TCP e UDP flood. Come detto, TP-Link ha rilasciato il nuovo firmware oltre tre mesi fa. Purtroppo gli attacchi in corso dimostrano che molti utenti non hanno ancora effettuato l’aggiornamento. Se viene utilizzato come bot, il router si surriscalda eccessivamente e impedisce l’accesso alla rete. Spesso l’utente trova modifiche alla configurazione e non può usare la password impostata per l’interfaccia web.