Il noto botnet malware Mirai sta attivamente sfruttando una vulnerabilità dei router WiFi TP-Link Archer A21 (AX1800), identificata come CVE-2023-1389, per incorporare i dispositivi in attacchi DDoS (Distributed Denial of Service).
La scoperta della vulnerabilità
La falla è stata scoperta per la prima volta durante l’evento di hacking Pwn2Own Toronto nel dicembre 2022, quando due team di hacker hanno violato il dispositivo utilizzando percorsi diversi (accesso tramite interfaccia LAN e WAN). La vulnerabilità è stata segnalata a TP-Link a gennaio 2023, e l’azienda ha rilasciato una correzione nel mese successivo tramite un aggiornamento del firmware.
L’espansione degli attacchi
Gli sforzi di sfruttamento sono stati rilevati dall’iniziativa Zero Day (ZDI) a partire dalla settimana scorsa, inizialmente concentrati nell’Europa orientale e successivamente diffusi in tutto il mondo.
Il funzionamento della vulnerabilità CVE-2023-1389
Questa vulnerabilità ad alto rischio (CVSS v3: 8.8) riguarda un’iniezione di comando non autenticata nell’API locale dell’interfaccia di gestione web del router TP-Link Archer AX21. La causa del problema è la mancanza di sanificazione dell’input nell’API locale che gestisce le impostazioni di lingua del router, che non convalida né filtra ciò che riceve. Ciò consente agli aggressori remoti di iniettare comandi che verranno eseguiti sul dispositivo.
L’exploit del botnet Mirai
Il botnet Mirai sfrutta la vulnerabilità per accedere al dispositivo, scaricare il payload binario appropriato per l’architettura del router e reclutare il dispositivo nel suo botnet. Questa particolare versione di Mirai si concentra principalmente su attacchi DDoS contro server di videogiochi, con la capacità di colpire il motore di gioco Valve Source Engine (VSE).
La risposta di TP-Link
TP-Link ha tentato inizialmente di risolvere il problema il 24 febbraio 2023, ma la correzione non era completa e non ha impedito lo sfruttamento. Infine, il produttore di dispositivi di rete ha pubblicato un aggiornamento del firmware che affronta il rischio di CVE-2023-1389 il 14 marzo 2023, con la versione 1.1.4 Build 20230219. I proprietari dei router Archer AX21 AX1800 dual-band WiFi 6 possono scaricare l’ultimo aggiornamento del firmware per la versione hardware del loro dispositivo.
Come riconoscere un router TP-Link infetto
I segni di un router TP-Link infetto dal malware Mirai includono surriscaldamento del dispositivo, disconnessioni improvvise da Internet, modifiche incomprensibili nelle impostazioni di rete del dispositivo e reimpostazione delle password degli utenti amministratori. È importante prestare attenzione a questi segnali per garantire la sicurezza della propria rete e proteggere i propri dati personali e sensibili.
Misure preventive e consigli per gli utenti
Per proteggere il router TP-Link Archer dall’attacco del malware Mirai e altri simili, gli utenti dovrebbero seguire alcune precauzioni. Tra queste:
- Aggiornare regolarmente il firmware del router: scaricare e installare gli aggiornamenti del firmware rilasciati da TP-Link per garantire che il router sia protetto dalle ultime vulnerabilità note.
- Cambiare le credenziali di accesso predefinite: modificare le credenziali di accesso amministratore del router per ridurre il rischio di accessi non autorizzati.
- Disabilitare l’accesso remoto: disattivare l’accesso remoto al router, se non strettamente necessario, per ridurre la superficie di attacco.
- Utilizzare una rete separata per i dispositivi IoT: se possibile, collegare i dispositivi IoT a una rete separata per limitare l’accesso diretto ai dispositivi più critici e ai dati sensibili.
Impatto a lungo termine e considerazioni sulla sicurezza
Gli attacchi come quello del malware Mirai evidenziano l’importanza di prestare attenzione alla sicurezza dei dispositivi di rete e di rimanere aggiornati sulle ultime vulnerabilità e minacce. È fondamentale che i produttori di dispositivi di rete continuino a investire nella ricerca e nello sviluppo per migliorare la sicurezza dei loro prodotti e collaborare con la comunità di sicurezza informatica per affrontare in modo proattivo le minacce emergenti.