Router TP-Link vulnerabili ad attacchi della botnet DDoS Condi

I ricercatori di Fortinet FortiGuard Labs avrebbero scoperto un nuovo malware chiamato Condi che sfrutta una vulnerabilità di sicurezza nei router Wi-Fi TP-Link Archer AX21 (AX1800) per collegare i dispositivi a una botnet DDoS. La campagna aumentata dalla fine del mese di maggio 2023, sarebbe un prodotto di un attore di minacce con alias online zxcr9999 che gestisce un canale promozionale Telegram chiamato per l’appunto Condi Network.

Il canale Telegram è stato avviato nel maggio 2022 e l’autore della minaccia ha monetizzato la sua botnet fornendo DDoS-as-a-service e vendendo il codice sorgente del malware“, si legge nel rapporto.

Pubblicità Condi su Telegram (Fonte FortiGuard Labs)

Il malware Condi

Il rapporto rileverebbe la capacità del malware di terminare altre botnet concorrenti sullo stesso host e la mancanza di un meccanismo di persistenza, a cui ovvia eliminando diversi file binari utilizzati per arrestare o riavviare i sistemi.

Condi, a differenza di altre botnet non si propagherebbe tramite attacchi di forza bruta ma sfruttando un modulo scanner che verifica la presenza di dispositivi TP-Link Archer AX21 vulnerabili a CVE-2023-1389 (punteggio CVSS: 8,8, un bug di command injection precedentemente sfruttato dalla botnet Mirai) e solo in caso positivo eseguirebbe uno script shell (recuperato da un server remoto) per rilasciare il payload.

In natura secondo Fortinet ci sarebbero anche altri campioni Condi capaci di sfruttare diversi difetti noti di sicurezza per la propria propagazione, suggerendo la necessità di adottare sempre una corretta gestione delle patch per attenuare i rischi di vulnerabilità.

Condi, inoltre, utilizzerebbe come protocollo di comunicazione con il proprio server C2 una versione modificata di quello inizialmente implementato in Mirai e dopo una fase di inizializzazione resta in attesa di ricevere comandi per diverse funzioni di attacco di tipo TCP flood e UDP contro siti e servizi web.

Possibili mitigazioni

Le campagne di malware, in particolare le botnet, sono sempre alla ricerca di modi per espandersi. Lo sfruttamento delle vulnerabilità recentemente scoperte (o pubblicate) è sempre stato uno dei loro metodi preferiti, come abbiamo evidenziato per la botnet Condi“, concludono gli esperti che, pertanto, consigliano di applicare, il prima possibile, le patch e gli aggiornamenti di sicurezza più recenti.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.