Varias botnets aprovechan un fallo de TP-Link de hace un año para piratear routers

Al menos seis operaciones de botnet maliciosas distintas están a la caza de routers TP-Link Archer AX21 (AX1800) vulnerables a un problema de seguridad de inyección de comandos del que se informó y al que se dio solución el año pasado.

Catalogado como CVE-2023-1389, el fallo es un problema de inyección de comandos no autenticados de alta gravedad en la API local accesible a través de la interfaz de gestión web del TP-Link Archer AX21.

Varios investigadores lo descubrieron en enero de 2023 y lo comunicaron al proveedor a través de la Zero-Day Initiative (ZDI). TP-Link resolvió el problema publicando actualizaciones de seguridad del firmware en marzo de 2023. El código del exploit de prueba de concepto apareció poco después de que se hicieran públicos los avisos de seguridad.

Posteriormente, los equipos de ciberseguridad advirtieron de la existencia de numerosas redes de bots, incluidas tres variantes de Mirai (1, 2, 3) y una red de bots denominada «Condi», cuyo objetivo eran los dispositivos sin parches.

Ayer, Fortinet publicó una nueva advertencia en la que afirmaba haber observado un repunte de la actividad maliciosa que explotaba la vulnerabilidad, señalando que procedía de seis botnets.

Los datos de telemetría de Fortinet muestran que, a partir de marzo de 2024, los intentos de infección diarios que explotaban CVE-2023-1389 superaban a menudo los 40.000 o incluso los 50.000.

«Recientemente, hemos observado múltiples ataques centrados en esta vulnerabilidad de hace un año, destacando botnets como Moobot, Miori, el agente basado en Golang «AGoent» y la variante Gafgyt». –

Fortinet

Cada una de estas redes de bots utiliza diferentes métodos y scripts para explotar la vulnerabilidad, tomar el control de los dispositivos comprometidos y ordenarles que participen en actividades maliciosas como ataques distribuidos de denegación de servicio (DDoS).

  • AGoent: descarga y ejecuta scripts que recuperan y ejecutan archivos ELF desde un servidor remoto y, a continuación, elimina los archivos para ocultar cualquier rastro.
  • Variante Gafgyt : especializada en ataques DDoS, descarga scripts para ejecutar binarios Linux y mantiene conexiones persistentes con servidores C&C.
  • Moobot: conocido por lanzar ataques DDoS, recupera y ejecuta un script para descargar archivos ELF, los ejecuta según la arquitectura y luego borra los rastros.
  • Miori: utiliza HTTP y TFTP para descargar archivos ELF, los ejecuta y utiliza credenciales codificadas para ataques de fuerza bruta.
  • Variante Mirai : Descarga un script que recupera los archivos ELF, comprimidos con UPX. Monitoriza y termina las herramientas de análisis de paquetes para evitar su detección.
  • Condi: Utiliza un script de descarga para mejorar las tasas de infección, evita que los dispositivos se reinicien para mantener la persistencia y analiza y termina procesos específicos para evitar la detección.

El informe de Fortinet indica que, a pesar de que el proveedor publicó una actualización de seguridad el año pasado, un número significativo de usuarios sigue utilizando firmware obsoleto.

Se recomienda a los usuarios del router TP-Link Archer AX21 (AX1800) que sigan las instrucciones de actualización del firmware del fabricante, disponibles aquí. También deben cambiar las contraseñas de administración por defecto por contraseñas únicas y largas y desactivar el acceso web al panel de administración si no es necesario.