Un nouveau botnet DDoS-as-a-Service appelé « Condi » est apparu en mai 2023, exploitant une vulnérabilité des routeurs Wi-Fi TP-Link Archer AX21 (AX1800) pour constituer une armée de bots pour mener des attaques.
AX1800 est un routeur Wi-Fi 6 double bande (2,4 GHz + 5 GHz) populaire basé sur Linux avec une bande passante de 1,8 Gbit/s, utilisé principalement par les particuliers, les petits bureaux, les magasins, les cafés, etc.
Condi vise à recruter de nouveaux appareils pour créer un puissant botnet DDoS (déni de service distribué) qui peut être loué pour lancer des attaques sur des sites Web et des services.
De plus, les acteurs de la menace derrière Condi vendent le code source du malware, qui est une méthode de monétisation inhabituellement agressive destinée à aboutir à de nombreux forks de projets avec différentes fonctionnalités.
Un nouveau rapport Fortinet publié aujourd’hui explique que Condi cible CVE-2023-1389, une faille d’injection de commande non authentifiée de haute gravité et d’exécution de code à distance dans l’API de l’interface de gestion Web du routeur.
ZDI a découvert la faille et l’a signalée au fournisseur d’équipement réseau en janvier 2023, TP-Link publiant une mise à jour de sécurité en mars avec la version 1.1.4 Build 20230219.
Condi est le deuxième botnet DDoS à cibler cette vulnérabilité après que Mirai l’a précédemment exploitée fin avril.
Pour faire face aux chevauchements d’attaques, Condi dispose d’un mécanisme qui tente de tuer tous les processus appartenant à des botnets concurrents connus. En même temps, il arrête également les anciennes versions de lui-même.
Étant donné que Condi ne dispose pas d’un mécanisme de persistance pour survivre entre les redémarrages de l’appareil, ses auteurs ont décidé de l’équiper d’un essuie-glace pour les fichiers suivants, ce qui empêche l’arrêt ou le redémarrage des appareils :
- /usr/sbin/reboot
- /usr/bin/reboot
- /usr/sbin/shutdown
- /usr/bin/shutdown
- /usr/sbin/poweroff
- /usr/bin/poweroff
- /usr/sbin/halt
- /usr/bin/halt
Pour se propager aux routeurs TP-Link vulnérables, le logiciel malveillant recherche les adresses IP publiques avec les ports ouverts 80 ou 8080 et envoie une demande d’exploitation codée en dur pour télécharger et exécuter un script shell distant qui infecte le nouveau périphérique.
Fortinet mentionne que si les échantillons qu’il a analysés contenaient un scanner pour CVE-2023-1389, il a également observé d’autres échantillons de Condi utilisant différents défauts pour se propager, de sorte que ses auteurs ou opérateurs pourraient expérimenter sur ce front.
De plus, les analystes ont trouvé des exemples qui utilisent un script shell avec une source ADB (Android Debug Bridge), indiquant potentiellement que le botnet se propage via des appareils avec un port ADB ouvert (TCP/5555).
Vraisemblablement, c’est le résultat direct de plusieurs acteurs de la menace ayant acheté le code source de Condi, ajustant ses attaques comme bon leur semble.
En ce qui concerne les capacités d’attaque DDoS de Condi, le logiciel malveillant prend en charge diverses méthodes d’inondation TCP et UDP similaires à celles de Mirai.
Les exemples plus anciens contiennent également des méthodes d’attaque HTTP ; cependant, ceux-ci semblent avoir été supprimés dans la dernière version du logiciel malveillant.
Les propriétaires du routeur Wi-Fi 6 double bande Archer AX21 AX1800 peuvent obtenir la dernière mise à jour du micrologiciel pour la version matérielle de leur appareil à partir du centre de téléchargement de TP-Link.
Les signes d’un routeur TP-Link infecté incluent une surchauffe de l’appareil, des perturbations du réseau, des modifications inexplicables des paramètres réseau d’un appareil et des réinitialisations du mot de passe de l’utilisateur administrateur.