Un bug nel firmare Arcadyan presente in 20 modelli di router di 17 diversi produttori consente a degli attori malevoli di sfruttare il vostro dispositivo per condurre attacchi DDoS (Distribuited Denial of Service), sfruttando la vostra linea internet facendoli diventare parte di una dell’ormai famosa rete botnet mirai attraverso una variante appositamente studiata per essere eseguita su questi dispositivi.

Un vecchio problema

Questa vulnerabilità consiste in un directory traversal ( CVE-2021-20090 ) che permette con un URL forgiato ad hoc, di bypassare il login del router, consentendo così la modifica ai parametri di configurazione senza avere le credenziali. Questa vulnerabilità è presente da quasi 10 anni ma ne è stata data la notizia pochi giorni fa. L’exploit consente di abilitare il servizio telnet con il quale gli attaccanti possono eseguire comandi sul router.

Una questione non da poco

Il fatto è di particolare gravita perché molti di questi apparati vengono dati in comodato d’uso con i contratti telefonici anche a persone che non aggiornano mai i firmware oppure che non sono mai neanche entrate nella pagina di configurazione del modem, dato che basta attaccarlo alla corrente e collegare il telefono per usufruire del router.

Cos’è mirai

Mirai è un malware che rende il vostro dispositivo uno zombie facendogli eseguire i comandi impartiti di un attore malevolo, quando questi dispostivi sono tanti e rispondono a un solo attaccante questi costituiscono una botnet.

Il malware mirai è scritto in C questo vuol dire che può essere eseguito su un largo gruppo di architetture (x86, ARM, Sparc, PowerPC, Motorola) e una delle sue funzionalità è quella di cercare gli ip di altri dispositivi infettabili per allargare la botnet aumentandone cosi la potenza di fuoco totale.

Diverse varianti colpiscono diversi gruppi di dispositivi ciclicamente questo malware viene riproposto in nuova salsa fra i vecchi obbiettivi possiamo annoverare più di 900,000 modem della tedesca Telekom che a causa del fallimento nell esecuzione del malware hanno smesso di funzionare per parecchio tempo, una variante che colpisce Android attraverso ADB se la porta 5555/TCP è aperta e un'altra variante che colpisce dispostivi per l internet delle cose, ovviamente la lista non è esaustiva.

L’infezione con mirai percorre diverse fasi la prima è una fase di discovery durante la quale il malware scopre quali sono gli altri dispostivi in rete infettabili, una seconda fase consiste nel eliminare i malware concorrenti e durante l’ultima il malware si cancella dal disco per rimanere residente in memoria fino al riavvio dell’apparato che se mantiene la password di default verrà prontamente reinfettato una volta completata la preparazione inizia a svolgere i compiti assegnatigli anche se non tutte le varianti si comportano allo stesso modo.

Gli incidenti più grandi causati da mirai sono difficoltà nella accesso  a molti siti web fra cui GitHub, Twitter, Reddit, Netflix, Airbnb  e molti altri.

L’università di Rutgers University ha incluso fra i motivi per cui la retta è diventata più cara dopo il 2016 la necessita di investire ingenti somme per la Cybersecurity dato che tutti gli studenti del campus sono rimasti senza internet per alcuni giorni

Chissà se l’intraprendere una carriera nella cybersecurity con il nostro corso SOC specialist farà risparmiare qualche soldo a qualche povero studente in futuro! Ciò che possiamo assicuravi che sicuramente eviterà molte noie ad un sacco di persone.

Tweet