Le botnet malveillant Mirai exploite activement une vulnérabilité de routeur WiFi TP-Link Archer A21 (AX1800) identifiée comme CVE-2023-1389 pour incorporer des appareils dans des essaims DDoS (déni de service distribué).

Les chercheurs ont d’abord abusé de la faille lors de l’événement de piratage Pwn2Own Toronto en décembre 2022, où deux équipes de piratage distinctes ont piraté l’appareil en utilisant différentes voies (accès aux interfaces LAN et WAN).

La faille a été révélée à TP-Link en janvier 2023, TP-Link ayant publié un correctif le mois dernier dans une nouvelle mise à jour du micrologiciel.

Les tentatives d’exploitation dans la nature ont été détectées par la Zero Day Initiative (ZDI) à partir de la semaine dernière, se concentrant initialement sur l’Europe de l’Est et se répandant dans le monde entier.

Exploité par le botnet Mirai
La vulnérabilité CVE-2023-1389 est une faille d’injection de commande non authentifiée de haute gravité (CVSS v3 : 8.8) dans l’API locale de l’interface de gestion Web du routeur TP-Link Archer AX21.

La source du problème est le manque de nettoyage des entrées dans l’API locale qui gère les paramètres de langue du routeur, qui ne valide ni ne filtre ce qu’il reçoit. Cela permet aux attaquants distants d’injecter des commandes qui doivent être exécutées sur l’appareil.

Les pirates peuvent exploiter la faille en envoyant une requête spécialement conçue au routeur qui contient une charge utile de commande dans le cadre du paramètre country, suivie d’une seconde requête qui déclenche l’exécution de la commande.

Les premiers signes d’exploitation dans la nature sont devenus évidents le 11 avril 2023 et l’activité malveillante est désormais détectée dans le monde entier.

ZDI rapporte qu’une nouvelle version du botnet malveillant Mirai exploite désormais la vulnérabilité pour accéder à l’appareil. Il télécharge ensuite la charge utile binaire appropriée pour l’architecture du routeur afin de recruter l’appareil dans son botnet.

La version particulière de Mirai se concentre sur le lancement d’attaques DDoS, et ses fonctionnalités indiquent qu’elle se concentre principalement sur les serveurs de jeux, ayant la capacité de lancer des attaques contre Valve Source Engine (VSE).

Un autre aspect intéressant de cette nouvelle version de malware est qu’elle peut imiter le trafic réseau légitime, ce qui rend plus difficile pour les solutions d’atténuation DDoS de faire la distinction entre le trafic malveillant et légitime pour rejeter efficacement le trafic indésirable.

Correction de TP-Link
TP-Link a d’abord tenté de résoudre le problème le 24 février 2023, mais le correctif était incomplet et n’a pas empêché l’exploitation.

Enfin, l’équipementier réseau a publié le 14 mars 2023 une mise à jour du firmware qui répond au risque de CVE-2023-1389, avec la version 1.1.4 Build 20230219.

Les propriétaires du routeur Wi-Fi 6 double bande Archer AX21 AX1800 peuvent télécharger la dernière mise à jour du micrologiciel pour la version matérielle de leur appareil à partir de cette page Web.

Les signes d’un routeur TP-Link infecté incluent une surchauffe de l’appareil, des déconnexions Internet, des modifications inexplicables des paramètres réseau de l’appareil et la réinitialisation des mots de passe des utilisateurs administrateur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *