TP-Link Archer AX21, una falla corretta l'anno scorso è ancora sfruttata da diverse botnet

TP-Link Archer AX21, una falla corretta l'anno scorso è ancora sfruttata da diverse botnet

Nonostante la pubblicazione di un aggiornamento di sicurezza da parte di TP-Link un anno fa, numerose botnet stanno sfruttando una vulnerabilità nei router Archer AX21 per prenderne il controllo e avviare attacchi DDoS. Rilevati oltre 50 mila tentativi di infezione giornalieri da parte di almeno sei diverse operazioni di malware.

di pubblicata il , alle 11:01 nel canale Sicurezza
TP-Link
 

Un numero significativo di utenti TP-Link continua a essere a rischio di attacchi informatici a causa di una vecchia vulnerabilità di command injection, nonostante il rilascio di un aggiornamento di sicurezza da parte del produttore un anno fa. Le aziende di sicurezza hanno recentemente osservato un'impennata di attività dannosa che sfrutta la vulnerabilità nota come CVE-2023-1389 nei router TP-Link Archer AX21 (AX1800).

La vulnerabilità, segnalata a TP-Link nel gennaio 2023, consente a un utente remoto non autenticato di iniettare comandi arbitrari attraverso l'interfaccia di gestione web del router. Dopo la divulgazione e la correzione da parte del produttore, avvenuta a marzo 2023, il codice di exploit proof-of-concept è stato reso disponibile, attirando l'attenzione di molteplici operazioni di malware botnet nella speranza di portare a termine attacchi su vasta scala.

Impennata di attacchi su un modello di router TP-Link

Secondo i dati di telemetria di Fortinet, a partire da marzo 2024, i tentativi di infezione giornalieri che sfruttano CVE-2023-1389 hanno spesso superato i 40 mila, arrivando fino a oltre 50 mila. Almeno sei distinte botnet, tra cui varianti di Mirai, Moobot, AGoent, Gafgyt, Miori e Condi, stanno attivamente prendendo di mira i dispositivi rimasti ancora vulnerabili.

Queste botnet utilizzano metodi diversi per sfruttare la vulnerabilità, stabilire il controllo sui dispositivi compromessi e sfruttarli per attività dannose come attacchi DDoS (Distributed Denial of Service). Alcune scaricano ed eseguono script per recuperare ed eseguire file ELF da server remoti, mentre altre tentano di forzare le credenziali di amministratore utilizzando elenchi di password all'interno di attacchi brute force.

Fortinet sottolinea che, nonostante il rilascio dell'aggiornamento di sicurezza da parte di TP-Link nel marzo 2023, un numero significativo di utenti continua a utilizzare firmware obsoleti, lasciando i loro dispositivi vulnerabili agli attacchi.

Gli utenti del router TP-Link Archer AX21 (AX1800) sono quindi chiamati a seguire immediatamente le istruzioni del produttore per l'aggiornamento del firmware, disponibili sul sito web di TP-Link, cambiando anche le password di amministratore predefinite ed eventualmente disabilitando l'accesso web al pannello di amministrazione se non necessario.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD18 Aprile 2024, 14:59 #1
Se uno aggiorna il firmware dovrebbe essere a pasto, forse, nel caso non lo fosse, avere attivo il firewall del router (che non capisco perche' tutti e tutte le marche lo hanno disattivato di default) ed avere nome e password personalizzati alfa numerici serve a qualcosa contro sti attacchi tramite lo sfruttamento delle falle?
Nel caso, uno come si accorge che gli hanno mod/usato il modem?
Grazie mille.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^