Au moins six opérations distinctes de logiciels malveillants botnet recherchent des routeurs TP-Link Archer AX21 (AX1800) vulnérables à un problème de sécurité d’injection de commandes signalé et résolu l’année dernière.
Répertorié comme CVE-2023-1389, la faille est un problème d’injection de commandes non authentifié de haute gravité dans l’API locale accessible via l’interface de gestion Web TP-Link Archer AX21.
Plusieurs chercheurs l’ont découvert en janvier 2023 et l’ont signalé au fournisseur via l’initiative Zero-Day (ZDI). TP-Link a résolu le problème avec la publication des mises à jour de sécurité du micrologiciel en mars 2023. Un code d’exploitation de validation de principe est apparu peu de temps après la publication des avis de sécurité.
Par la suite, les équipes de cybersécurité ont mis en garde contre plusieurs botnets, dont trois variantes Mirai (1, 2, 3) et un botnet nommé « Condi », qui ciblait les appareils non corrigés.
Hier, Fortinet a émis un autre avertissement indiquant qu’il avait observé une augmentation de l’activité malveillante exploitant la vulnérabilité, notant qu’elle provenait de six opérations de botnet.
Les données de télémétrie de Fortinet montrent qu’à partir de mars 2024, les tentatives d’infection quotidiennes exploitant CVE-2023-1389 dépassaient souvent 40 000 et atteignaient 50 000.
« Récemment, nous avons observé de multiples attaques se concentrant sur cette vulnérabilité vieille d’un an, mettant en lumière des botnets comme Moobot, Miori, l’agent basé sur Golang « AGoent » et la variante Gafgyt. »- Fortinet
Chacun de ces botnets utilise différentes méthodes et scripts pour exploiter la vulnérabilité, établir un contrôle sur les appareils compromis et leur ordonner de participer à des activités malveillantes telles que des attaques par déni de service distribué (DDoS).
- Agent: Télécharge et exécute des scripts qui récupèrent et exécutent des fichiers ELF à partir d’un serveur distant, puis efface les fichiers pour masquer les traces.
- Variante Gafgyt: Spécialisée dans les attaques DDoS en téléchargeant des scripts pour exécuter des binaires Linux et en maintenant des connexions persistantes aux serveurs C & C.
- Moobot: Connu pour lancer des attaques DDoS, il récupère et exécute un script pour télécharger des fichiers ELF, les exécute en fonction de l’architecture, puis supprime les traces.
- Miori: Utilise HTTP et TFTP pour télécharger des fichiers ELF, les exécute et utilise des informations d’identification codées en dur pour les attaques par force brute.
Variante Mirai: Télécharge un script qui récupère ensuite les fichiers ELF, qui sont compressés à l’aide d’UPX. Surveille et termine les outils d’analyse de paquets pour éviter la détection.
Condi: Utilise un script de téléchargement pour améliorer les taux d’infection, empêche les redémarrages de l’appareil pour maintenir la persistance, et recherche et termine des processus spécifiques pour éviter la détection.
Le rapport de Fortinet indique que malgré la publication d’une mise à jour de sécurité par le fournisseur l’année dernière, un nombre important d’utilisateurs continuent d’utiliser des micrologiciels obsolètes.
Il est conseillé aux utilisateurs du routeur TP-Link Archer AX21 (AX1800) de suivre les instructions de mise à niveau du micrologiciel du fournisseur, disponibles ici. Ils doivent également changer les mots de passe administrateur par défaut en quelque chose d’unique et de long, et désactiver l’accès Web au panneau d’administration s’il n’est pas nécessaire.