Múltiples botnets aprovechan la falla de TP-Link de un año de antigüedad para hackear enrutadores
Al menos seis operaciones distintas de malware de botnet están buscando enrutadores TP-Link Archer AX21 (AX1800) vulnerables a un problema de seguridad de inyección de comandos reportado y solucionado el año pasado.
Registrada como CVE-2023-1389, la falla es un problema de inyección de comandos no autenticados de alta gravedad en la API local accesible a través de la interfaz de administración web TP-Link Archer AX21.
Varios investigadores lo descubrieron en Enero de 2023 y lo informaron al proveedor a través de la Iniciativa de Día Cero (ZDI). TP-Link abordó el problema con el lanzamiento de actualizaciones de seguridad de firmware en Marzo de 2023. El código de explotación de prueba de concepto surgió poco después de que los avisos de seguridad se hicieran públicos.
Después de eso, los equipos de ciberseguridad advirtieron sobre múltiples botnets, incluidas tres variantes de Mirai (1 https://www.bleepingcomputer.com/news/security/tp-link-archer-wifi-router-flaw-exploited-by-mirai-malware/, 2 https://www.bleepingcomputer.com/news/security/mirai-ddos-malware-variant-expands-targets-with-13-router-exploits/, 3 https://www.bleepingcomputer.com/news/security/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/) y una botnet llamada "Condi" (https://www.bleepingcomputer.com/news/security/new-condi-malware-builds-ddos-botnet-out-of-tp-link-ax21-routers/), que apuntaba a dispositivos sin parches.
Antesdeayer, Fortinet emitió otra advertencia diciendo que observó un aumento en la actividad maliciosa que explota la vulnerabilidad, señalando que se originó a partir de seis operaciones de botnet.
Los datos de telemetría de Fortinet muestran que a partir de Marzo de 2024, los intentos de infección diarios aprovechando CVE-2023-1389 a menudo superaban los 40.000 y llegaban a los 50.000.
"Recientemente, observamos múltiples ataques centrados en esta vulnerabilidad de un año de antigüedad, destacando botnets como Moobot, Miori, el agente "AGoent" basado en Golang y la variante Gafgyt". -Fortinet
Cada una de estas botnets utiliza diferentes métodos y scripts para explotar la vulnerabilidad, establecer control sobre los dispositivos comprometidos y ordenarles que participen en actividades maliciosas, como ataques de denegación de servicio distribuido (DDoS).
AGoent: descarga y ejecuta scripts que recuperan y ejecutan archivos ELF desde un servidor remoto, luego borra los archivos para ocultar rastros.
Variante Gafgyt: se especializa en ataques DDoS mediante la descarga de scripts para ejecutar archivos binarios de Linux y el mantenimiento de conexiones persistentes a servidores C&C.
Moobot: conocido por iniciar ataques DDoS, busca y ejecuta un script para descargar archivos ELF, los ejecuta según la arquitectura y luego elimina los rastros.
Miori: utiliza HTTP y TFTP para descargar archivos ELF, los ejecuta y utiliza credenciales codificadas para ataques de fuerza bruta.
Variante Mirai: descarga un script que posteriormente recupera archivos ELF, que se comprimen mediante UPX. Supervisa y finaliza las herramientas de análisis de paquetes para evitar la detección.
Condi: utiliza un script de descarga para mejorar las tasas de infección, evita reinicios del dispositivo para mantener la persistencia y busca y finaliza procesos específicos para evitar la detección.
El informe de Fortinet indica que a pesar del lanzamiento de una actualización de seguridad por parte del proveedor el año pasado, un número significativo de usuarios continúa usando firmware obsoleto.
Se recomienda a los usuarios del enrutador TP-Link Archer AX21 (AX1800) que sigan las instrucciones de actualización del firmware del proveedor, disponibles aquí (https://www.tp-link.com/us/support/download/archer-ax21/v3/#Firmware). También deberían cambiar las contraseñas de administrador predeterminadas por algo único y largo, y desactivar el acceso web al panel de administración si no es necesario.
Artículos relacionados:
El malware TheMoon infecta 6.000 enrutadores ASUS en 72 horas para el servicio proxy
https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/
Un moldavo acusado de operar una botnet utilizada para impulsar ransomware
https://www.bleepingcomputer.com/news/security/moldovan-charged-for-operating-botnet-used-to-push-ransomware/
Microsoft repara dos días cero de Windows explotados en ataques de malware
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-two-windows-zero-days-exploited-in-malware-attacks/
Hackers de RUBYCARP vinculados a una botnet de criptominería de hace 10 años
https://www.bleepingcomputer.com/news/security/rubycarp-hackers-linked-to-10-year-old-cryptomining-botnet/
Cisco advierte sobre ataques de pulverización de contraseñas dirigidos a servicios VPN
https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/
Traducido de: https://www.bleepingcomputer.com/news/security/multiple-botnets-exploiting-one-year-old-tp-link-flaw-to-hack-routers/
Que te diviertas!
Al menos seis operaciones distintas de malware de botnet están buscando enrutadores TP-Link Archer AX21 (AX1800) vulnerables a un problema de seguridad de inyección de comandos reportado y solucionado el año pasado.
Registrada como CVE-2023-1389, la falla es un problema de inyección de comandos no autenticados de alta gravedad en la API local accesible a través de la interfaz de administración web TP-Link Archer AX21.
Varios investigadores lo descubrieron en Enero de 2023 y lo informaron al proveedor a través de la Iniciativa de Día Cero (ZDI). TP-Link abordó el problema con el lanzamiento de actualizaciones de seguridad de firmware en Marzo de 2023. El código de explotación de prueba de concepto surgió poco después de que los avisos de seguridad se hicieran públicos.
Después de eso, los equipos de ciberseguridad advirtieron sobre múltiples botnets, incluidas tres variantes de Mirai (1 https://www.bleepingcomputer.com/news/security/tp-link-archer-wifi-router-flaw-exploited-by-mirai-malware/, 2 https://www.bleepingcomputer.com/news/security/mirai-ddos-malware-variant-expands-targets-with-13-router-exploits/, 3 https://www.bleepingcomputer.com/news/security/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/) y una botnet llamada "Condi" (https://www.bleepingcomputer.com/news/security/new-condi-malware-builds-ddos-botnet-out-of-tp-link-ax21-routers/), que apuntaba a dispositivos sin parches.
Antesdeayer, Fortinet emitió otra advertencia diciendo que observó un aumento en la actividad maliciosa que explota la vulnerabilidad, señalando que se originó a partir de seis operaciones de botnet.
Los datos de telemetría de Fortinet muestran que a partir de Marzo de 2024, los intentos de infección diarios aprovechando CVE-2023-1389 a menudo superaban los 40.000 y llegaban a los 50.000.
 |
| Diagrama de actividad relativo a CVE-2023-1389 (Fortinet) |
"Recientemente, observamos múltiples ataques centrados en esta vulnerabilidad de un año de antigüedad, destacando botnets como Moobot, Miori, el agente "AGoent" basado en Golang y la variante Gafgyt". -Fortinet
Cada una de estas botnets utiliza diferentes métodos y scripts para explotar la vulnerabilidad, establecer control sobre los dispositivos comprometidos y ordenarles que participen en actividades maliciosas, como ataques de denegación de servicio distribuido (DDoS).
AGoent: descarga y ejecuta scripts que recuperan y ejecutan archivos ELF desde un servidor remoto, luego borra los archivos para ocultar rastros.
Variante Gafgyt: se especializa en ataques DDoS mediante la descarga de scripts para ejecutar archivos binarios de Linux y el mantenimiento de conexiones persistentes a servidores C&C.
Moobot: conocido por iniciar ataques DDoS, busca y ejecuta un script para descargar archivos ELF, los ejecuta según la arquitectura y luego elimina los rastros.
Miori: utiliza HTTP y TFTP para descargar archivos ELF, los ejecuta y utiliza credenciales codificadas para ataques de fuerza bruta.
 |
| Lista de credenciales que Miori usa para cuentas de fuerza bruta (Fortinet) |
Variante Mirai: descarga un script que posteriormente recupera archivos ELF, que se comprimen mediante UPX. Supervisa y finaliza las herramientas de análisis de paquetes para evitar la detección.
Condi: utiliza un script de descarga para mejorar las tasas de infección, evita reinicios del dispositivo para mantener la persistencia y busca y finaliza procesos específicos para evitar la detección.
 |
| Modos de ataque Condi DDoS (Fortinet) |
El informe de Fortinet indica que a pesar del lanzamiento de una actualización de seguridad por parte del proveedor el año pasado, un número significativo de usuarios continúa usando firmware obsoleto.
Se recomienda a los usuarios del enrutador TP-Link Archer AX21 (AX1800) que sigan las instrucciones de actualización del firmware del proveedor, disponibles aquí (https://www.tp-link.com/us/support/download/archer-ax21/v3/#Firmware). También deberían cambiar las contraseñas de administrador predeterminadas por algo único y largo, y desactivar el acceso web al panel de administración si no es necesario.
Artículos relacionados:
El malware TheMoon infecta 6.000 enrutadores ASUS en 72 horas para el servicio proxy
https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/
Un moldavo acusado de operar una botnet utilizada para impulsar ransomware
https://www.bleepingcomputer.com/news/security/moldovan-charged-for-operating-botnet-used-to-push-ransomware/
Microsoft repara dos días cero de Windows explotados en ataques de malware
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-two-windows-zero-days-exploited-in-malware-attacks/
Hackers de RUBYCARP vinculados a una botnet de criptominería de hace 10 años
https://www.bleepingcomputer.com/news/security/rubycarp-hackers-linked-to-10-year-old-cryptomining-botnet/
Cisco advierte sobre ataques de pulverización de contraseñas dirigidos a servicios VPN
https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/
Traducido de: https://www.bleepingcomputer.com/news/security/multiple-botnets-exploiting-one-year-old-tp-link-flaw-to-hack-routers/
Que te diviertas!
No hay comentarios:
Publicar un comentario