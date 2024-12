Gli esperti di Akamai hanno individuato una nuova botnet basata su Mirai che sfrutta le vulnerabilità dei dispositivi NVR (Network Video Recorder) di DigiEver e dei router TP-Link che firmware non aggiornato. L’obiettivo dei cybercriminali è distribuire malware o effettuare attacchi DDoS. I prodotti dell’azienda cinese potrebbero essere banditi negli Stati Uniti.

Botnet attiva da ottobre 2024

I ricercatori di Akamai hanno scoperto che la nuova botnet è attiva dal mese di settembre, ma la sua attività è aumentata verso metà novembre. I cybercriminali hanno sfruttato principalmente una vulnerabilità dei dispositivi NVR di DigiEver, tra cui il modello DS-2105 Pro, che permette l’esecuzione di codice remoto. Il malware, simile a quello usato dalla botnet Mirai, è stato installato anche sui router TP-Link Archer AX-21, iniettando comandi nel firmware (vulnerabilità CVE-2023-1389).

Nel caso dei dispositivi di DigiVer è stata sfruttata l’errata validazione dell’input dell’URI /cgi-bin/cgi_main.cgi . Ciò ha permesso di iniettare comandi nel campo ntp della richiesta HTTP POST. Con uno dei comandi è stato contattato un server remoto, dal quale è stato scaricato il malware usato per aggiungere i dispositivi alla botnet.

Nel caso del router TP-Link è stato iniettato un comando nel codice dell’interfaccia di gestione web per scaricare ed eseguire uno script di shell che ha successivamente scaricato il malware. Come detto, quest’ultimo è una variante del malware usato da Mirai che sfrutta la crittografia XOR e ChaCha20 per colpire dispositivi con architettura x86, Arm e MIPS.

La botnet viene utilizzata soprattutto per effettuare attacchi DDoS (Distributed Denial of Service). È necessario installare l’ultima versione del firmware. Se non più supportato dal produttore, il dispositivo dovrebbe essere scollegato da Internet.