I ricercatori dei FortiGuard Labs hanno individuato una nuova botnet, denominata ShadowV2, durante il down di Amazon Web Services. Appartiene alla famiglia Mirai e sfrutta vulnerabilità di vari dispositivi IoT, tra cui router, NAS e NVR. Probabilmente i cybercriminali hanno eseguito un test per futuri attacchi.
Sostituire i vecchi dispositivi non supportati
Gli esperti dei FortiGuard Labs hanno scoperto che ShadowV2 prende di mira le istanze AWS EC2. Le attività rilevate durante il down del servizio cloud di Amazon sono servite quasi certamente per testare il funzionamento della botnet. Quest’ultima è composta da dispositivi IoT di D-Link, TP-Link, DigiEver, TBK e quelli che usano il firmware DD-WRT. Si trovano in molti paesi, Italia inclusa.
Quattro vulnerabilità sono state trovate in alcuni router e NAS di D-Link. Due di esse (CVE-2024-10914 e CVE-2024-10915) possono essere sfruttate per iniettare comandi in uno script CGI. Il produttore taiwanese ha pubblicato due bollettini di sicurezza con le descrizioni dettagliate, specificando che non rilascerà nessun aggiornamento perché i dispositivi non sono più supportati. Gli utenti devono quindi scollegarli da Internet e sostituirli.
La vulnerabilità CVE-2024-53375 è invece presente nei router Archer AXE75 V1 di TP-Link. In questo caso è disponibile il firmware aggiornato. I dispositivi infettati vengono sfruttati per eseguire attacchi DDoS (Distributed Denial of Service) contro aziende che operano in diversi settori: governo, tecnologia, produzione, fornitori di servizi di sicurezza gestiti, telecomunicazioni e istruzione.
Dopo aver individuato i dispositivi connessi ad Internet, i cybercriminali installano uno script per il collegamento al server dal quale vengono inviati i comandi necessari all’esecuzione degli attacchi DDoS. È indispensabile aggiornare i dispositivi ancora supportati e sostituire quelli che non riceveranno nuovi firmware.
Ti potrebbe interessare
30 nov 2025