Gli esperti di Akamai hanno individuato una nuova botnet basata su Mirai che sfrutta le vulnerabilità dei dispositivi NVR (Network Video Recorder) di DigiEver e dei router TP-Link che firmware non aggiornato. L’obiettivo dei cybercriminali è distribuire malware o effettuare attacchi DDoS. I prodotti dell’azienda cinese potrebbero essere banditi negli Stati Uniti.
Botnet attiva da ottobre 2024
I ricercatori di Akamai hanno scoperto che la nuova botnet è attiva dal mese di settembre, ma la sua attività è aumentata verso metà novembre. I cybercriminali hanno sfruttato principalmente una vulnerabilità dei dispositivi NVR di DigiEver, tra cui il modello DS-2105 Pro, che permette l’esecuzione di codice remoto. Il malware, simile a quello usato dalla botnet Mirai, è stato installato anche sui router TP-Link Archer AX-21, iniettando comandi nel firmware (vulnerabilità CVE-2023-1389).
Nel caso dei dispositivi di DigiVer è stata sfruttata l’errata validazione dell’input dell’URI /cgi-bin/cgi_main.cgi. Ciò ha permesso di iniettare comandi nel campo ntp della richiesta HTTP POST. Con uno dei comandi è stato contattato un server remoto, dal quale è stato scaricato il malware usato per aggiungere i dispositivi alla botnet.
Nel caso del router TP-Link è stato iniettato un comando nel codice dell’interfaccia di gestione web per scaricare ed eseguire uno script di shell che ha successivamente scaricato il malware. Come detto, quest’ultimo è una variante del malware usato da Mirai che sfrutta la crittografia XOR e ChaCha20 per colpire dispositivi con architettura x86, Arm e MIPS.
La botnet viene utilizzata soprattutto per effettuare attacchi DDoS (Distributed Denial of Service). È necessario installare l’ultima versione del firmware. Se non più supportato dal produttore, il dispositivo dovrebbe essere scollegato da Internet.
Ti potrebbe interessare
30 dic 2024