Los expertos han detectado una falla de seguridad de alta gravedad en ciertos enrutadores Wi-Fi de TP-Link (se abre en una pestaña nueva) que actualmente se usa para secuestrar los dispositivos y reclutarlos en una gran red de bots que luego se usaría para ataques de denegación de servicio distribuido (DDoS).
Un informe de Zero Day Initiative (ZDI), un programa creado para alentar el informe privado de vulnerabilidades de día cero a los proveedores afectados, encontró que desde mediados de abril de este año, los actores de amenazas comenzaron a abusar de CVE-2023-1389, un alto falla de gravedad encontrada en los enrutadores Wi-Fi TP-Link Archer A21 (AX1800).
La falla, que tiene una puntuación de gravedad de 8.8, se describe como una falla de inyección de comando no autenticada en la API local de la interfaz de administración web en el dispositivo.
Mirai en expansión
Los piratas informáticos están utilizando la falla para implementar el malware Mirai, afirma además ZDI, que convierte el dispositivo objetivo en un bot para la red de bots Mirai. Primero se dirigieron a los enrutadores en Europa del Este a principios de este mes, solo para expandirse globalmente más adelante.
TP-Link recibió un aviso sobre la existencia del día cero en enero de este año, luego de que dos grupos de investigación separados demostraran cómo abusar de la falla durante el evento de piratería Pwn2Own Toronto en diciembre de 2022. La compañía primero intentó solucionar el problema a fines febrero, pero el parche estaba incompleto y los dispositivos seguían siendo vulnerables.
Sin embargo, el mes pasado, TP-Link emitió una nueva actualización de firmware que abordó con éxito CVE-2023-1389. Los administradores de TI y los propietarios del enrutador Wi-Fi Archer AX21 AX1800 deben asegurarse de que el hardware de su dispositivo esté actualizado al menos a la versión 1.1.4 Build 20230219.
Algunos de los síntomas de un enrutador comprometido incluyen desconexiones frecuentes de Internet, cambios en la configuración de red del dispositivo que nadie parece haber realizado, el restablecimiento de las credenciales del administrador y el sobrecalentamiento inexplicable del enrutador.
Vía: BleepingComputer (se abre en una pestaña nueva)