Uma Análise Detalhada da Exploração da Falha CVE-2023-1389 e Medidas Urgentes de Proteção
Os roteadores TP-Link Archer AX21 (AX1800) estão no centro das atenções de cibersegurança após a descoberta de uma grave vulnerabilidade de injeção de comando não autenticada, identificada sob a nomenclatura CVE-2023-1389. Esta falha afeta diretamente a API de localidade e é acessível através da interface de gerenciamento web destes dispositivos.
A questão de segurança foi inicialmente identificada por pesquisadores experientes em janeiro de 2023 e comunicada à TP-Link através da Zero-Day Initiative (ZDI). A empresa respondeu prontamente, lançando um patch de segurança em março de 2023, buscando mitigar o problema. Apesar disso, detalhes da vulnerabilidade e um código de exploração de conceito tornaram-se públicos logo após os avisos de segurança serem emitidos, disparando os riscos associados.
Em uma subsequente evolução desfavorável, grupos dedicados à criação de botnets, incluindo três variações conhecidas do Mirai e uma especialmente denominada “Condi”, deram início a um conjunto de ataques sistemáticos contra roteadores que não haviam aplicado a atualização crítica.
Recentemente, uma atualização da situação foi fornecida pela Fortinet, que notificou um incremento alarmante nas tentativas de exploração da vulnerabilidade CVE-2023-1389. De acordo com a telemetria da empresa, as investidas diárias registraram números que oscilavam acima de 40.000, alcançando picos de até 50.000 tentativas de infecção.
De acordo com investigações mais detalhadas, cada botnet tem operado com táticas específicas e scripts personalizados para explorar a falha de segurança, assumir o controle dos dispositivos comprometidos e utilizar esses recursos em ações mal-intencionadas, que frequentemente incluem a execução de ataques de negação de serviços distribuídos (DDoS). Algumas das abordagens adotadas por esses botnets são:
– AGoent: Realiza o download e a execução de arquivos ELF de servidores remotos, para logo depois apagá-los e ocultar os vestígios deixados.
– Variante Gafgyt: Centra esforços em efetuar ataques DDoS por meio da execução de scripts que baixam binários Linux e mantêm conexões estáveis com servidores de controle e comando.
– Moobot: Realiza ataques DDoS e executa scripts que descarregam arquivos ELF baseados na arquitetura do dispositivo, prosseguindo para a eliminação de quaisquer traços.
– Miori: Efetua o download de arquivos ELF utilizando HTTP e TFTP, realiza a execução e efetua ataques de força bruta usando credenciais predefinidas.
– Variante Mirai: Descarrega scripts que por sua vez procuram por arquivos ELF comprimidos com UPX. Também realiza monitoramento e término de ferramentas de análise de pacote para evitar sua detecção.
– Condi: Implementa um script downloader para aumentar as taxas de sucesso das infecções, bloqueia reinicializações de dispositivo para assegurar a persistência e verifica e termina processos específicos em prol de evitar sua detecção.
O informe técnico emitido pela Fortinet alerta que, mesmo após a liberação de uma atualização de segurança pelo fabricante, uma porção considerável de usuários permanece operando com versões desatualizadas do firmware.
É fortemente recomendado que proprietários do roteador TP-Link Archer AX21 (AX1800) procedam com as orientações de atualização de firmware fornecidas pelo fabricante. Ademais, é crucial que sejam estabelecidas senhas fortes e únicas para administração e que se considere a desativação do acesso web ao painel administrativo sempre que este não estiver em uso ativo.