La famigerata botnet Mirai ha sfruttato una vulnerabilità presente nel router WiFi Archer AX21 di TP-Link. Il bug consente ai cybercriminali di aggiungere il dispositivo alla botnet e usarlo per effettuare attacchi DDoS (Distributed Denial of Service). Il produttore cinese ha rilasciato un nuovo firmware che gli utenti devono installare al più presto.
TP-Link Archer AX21 nella botnet
La vulnerabilità CVE-2023-1389 è stata individuata dai ricercatori di sicurezza durante l’evento Pwn2Own Toronto nel mese di dicembre 2022. A fine gennaio è stata segnalata al produttore dal team ZDI (Zero Day Iniziative) che, pochi giorni fa, ha scoperto vari tentativi di sfruttare il problema di sicurezza.
Il bug consente di iniettare comandi nell’interfaccia web di gestione del router, senza la necessità di autenticazione. La API che permette di impostare la lingua non controlla l’input ricevuto, quindi è possibile eseguire comandi sul dispositivo. È sufficiente inviare una richiesta che contiene il link al malware come parte del parametro usato per impostare la lingua.
Una successiva richiesta esegue il payload e il router diventa uno “zombie” della botnet Mirai. I primi exploit sono apparsi online l’11 aprile. Gli attacchi DDoS vengono effettuati principalmente contro i server di gioco. Il malware può simulare traffico legittimo, quindi è più difficile individuarlo.
TP-Link aveva rilasciato il fix a fine febbraio, ma era incompleto. Il firmware definitivo è stato pubblicato il 17 marzo. La versione da installare è 1.1.4 Build 20230219. Gli utenti si accorgono della presenza della botnet perché il router raggiunge temperature elevate.