I ricercatori di Fortinet hanno rilevato numerosi attacchi che sfruttano un vecchio bug presente nel firmware del router Archer AX21 di TP-Link. L’aggiornamento è disponibile da oltre un anno, ma molti utenti usano ancora la versione vulnerabile. Ciò ha facilitato l’accesso ai dispositivi e l’installazione dei client di almeno sei botnet.
Attacchi multipli contro il router
La vulnerabilità, indicata con CVE-2023-1389, era stata scoperta a gennaio 2023. Il produttore cinese ha rilasciato l’aggiornamento a metà marzo 2023. Il bug consente di iniettare comandi nell’interfaccia web di gestione del router, senza la necessità di autenticazione. La API che permette di impostare il paese non controlla l’input ricevuto, quindi è possibile eseguire comandi sul dispositivo.
La vulnerabilità era stata già sfruttata dalle botnet Mirai e Condi. Gli esperti di Fortinet hanno rilevato nuovi attacchi per installare il client che permette di aggiungere i router non aggiornati ad almeno sei botnet.
Oltre a Mirai e Condi ci sono anche AGoent, Gafgyt, Moobot e Miori. I metodi e gli script variano, ma l’obiettivo finale è lo stesso, ovvero prendere il controllo dei router e sfruttarli per eseguire attacchi DDoS (Distributed Denial of Service).
Secondo Fortinet, a fine marzo sono stati rilevati fino a 50.000 attacchi. Ovviamente la soluzione migliore è quella di installare l’ultima versione del firmware. È consigliato anche cambiare la password predefinita di amministratore e disattivare l’accesso web se non necessario.