Uma botnet direcionada a ataques distribuídos de negação de serviço (DDoS), baseada no malware Mirai, rastreada como IZ1H9, adicionou 13 novas cargas úteis para atingir roteadores, inclusive baseados em Linux, da D-Link, Zyxel, TP-Link, TotoLink e outros.
Pesquisadores da Fortinet relatam ter observado um pico nas taxas de exploração por volta da primeira semana de setembro, atingindo dezenas de milhares de tentativas de exploração contra dispositivos vulneráveis.
O IZ1H9 compromete dispositivos para listá-los em seu “portfólio” DDoS e, em seguida, lançar ataques a alvos específicos. Quanto mais dispositivos e vulnerabilidades visados por um malware DDoS aumentam, maior o potencial de construir uma botnet poderosa capaz de desferir golpes em massa contra sites, diz a Fortinet.
No caso do IZ1H9, a fornecedora de soluções de cibersegurança informa que ele usa exploits para as seguintes falhas, que datam de 2015 a 2023:
- Dispositivos D-Link: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382
- Netis WF2419: CVE-2019-19356
- Sunhillo SureLine (versões anteriores a 8.7.0.1.1): CVE-2021-36380
- Produtos Geutebruck: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554
- Gerenciamento de dispositivos Yealink (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
- Zyxel EMG3525/VMG1312 (antes da V5.50): CVE não especificado, mas tem como alvo a vulnerabilidade do componente /bin/zhttpd/ do dispositivo Zyxel
- TP-Link Archer AX21 (AX1800): CVE-2023-1389
- AP sem fio Korenix JetWave: CVE-2023-23295
- Roteadores TOTOLINK: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
A campanha também tem como alvo um CVE não especificado relacionado à rota “/cgi-bin/login.cgi”, potencialmente afetando o roteador Prolink PRC2402M.
Veja isso
Roteadores 3G/4G da ConnectedIO sob risco em conexões IoT
EUA e Japão alertam sobre backdoor em roteadores Cisco
Depois de explorar um dos CVEs, uma carga IZ1H9 é injetada no dispositivo que contém um comando para buscar um downloader de script de shell chamado “l.sh” de uma URL especificada. Após a execução, o script exclui logs para ocultar a atividade maliciosa e, em seguida, busca clientes de bot adaptados para diferentes arquiteturas de sistema.
Finalmente, o script modifica as regras iptables do dispositivo para obstruir a conexão em portas específicas e dificultar a remoção do malware do dispositivo. Feito isso, o bot estabelece comunicação com o servidor de comando e controle (C&C) e aguarda a execução dos comandos. Os comandos suportados dizem respeito ao tipo de ataque DDoS a ser iniciado, incluindo UDP, UDP Plain, HTTP Flood e TCP SYN.
A Fortinet também relata que o IZ1H9 apresenta uma seção de dados com credenciais codificadas usadas para ataques de força bruta. Esses ataques podem ser úteis para propagação para dispositivos adjacentes ou autenticação para dispositivos IoT para os quais não tem uma exploração em funcionamento. Para saber mais sobre a botnet IZ1H9 clique aqui.