A Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA adicionou três novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas e alertou que elas estão sendo exploradas ativamente na natureza. Uma dessas vulnerabilidades afeta o roteador WiFi TP-Link Archer AX21 (AX1800) e está sendo explorada por operadores da botnet de malware Mirai.
Leia também: Cloudflare bloqueia ataque HTTPS DDoS mais poderoso já registrado
Mirai Botnet usando roteadores TP-Link
Juntamente com a exploração do roteador TP-Link, as outras duas vulnerabilidades colocadas na lista da CISA incluem a vulnerabilidade não especificada do Oracle WebLogic Server rastreada como CVE-2023-21839 e a desserialização Apache Log4j2 de vulnerabilidade de dados não confiáveis, rastreada como CVE-2021-45046. Segundo a agência, todos os três tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam “ameaça significativa” para os usuários.
A exploração do roteador TP-Link foi detectada pela primeira vez no evento de hackers Pwn2Own Toronto em dezembro passado, onde duas equipes diferentes conseguiram invadir o dispositivo usando as interfaces LAN e WAN. O problema foi relatado ao TP-Link em janeiro e a empresa lançou um patch para ele no mês passado.
Em uma declaração abordando o assunto, a TP-Link disse que leva as vulnerabilidades de segurança “muito a sério” e trabalha diligentemente para mitigar qualquer falha que possa comprometer a segurança e a privacidade de seus clientes. A empresa também pediu a todos os usuários do roteador AX21 que baixem e instalem a atualização o mais rápido possível.
De acordo com o National Vulnerability Database (NVD), os roteadores Archer AX21 Wi-Fi 6 da TP-Link com versões de firmware anteriores a 1.1.4 Build 20230219 continham uma vulnerabilidade de injeção de comando não autenticada que permitia a execução de código remoto clandestino, permitindo que hackers assumissem o controle do dispositivo e usá-lo para ataques distribuídos de negação de serviço (DDoS) contra servidores de jogos.
No entanto, apesar da correção estar disponível, o grupo de pesquisa Zero Day Initiative (ZDI) da Trend Micro descobriu que os cibercriminosos estão explorando a vulnerabilidade em estado selvagem. De acordo com o relatório, os ataques foram detectados pela primeira vez em 11 de abril na Europa Oriental, mas desde então se espalharam pelo mundo.
Os operadores do botnet Mirai são conhecidos por explorar rapidamente vulnerabilidades em dispositivos IoT, portanto, não é uma grande surpresa para os pesquisadores que eles tenham conseguido começar a atacar a falha mais recente logo após ela ter sido divulgada publicamente. De qualquer forma, aplicar o patch é a única maneira de mitigar a vulnerabilidade, portanto, todos os proprietários do TP-Link Archer AX21 devem fazê-lo o mais rápido possível para evitar possíveis riscos de segurança.