La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) está advirtiendo a las empresas que parchen los enrutadores TP-Link que están siendo atacados activamente por actores malintencionados que buscan reclutarlos en la red de bots Mirai.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para los actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”. dice el aviso de seguridad.
La falla en ciertos enrutadores Wi-Fi de TP-Link fue detectada por primera vez por Zero Day Initiative (ZDI), un programa creado para alentar el informe privado de vulnerabilidades de día cero a los proveedores afectados. El programa descubrió que desde mediados de abril de 2023, los actores de amenazas comenzaron a abusar de CVE-2023-1389, una falla de alta gravedad encontrada en los enrutadores Wi-Fi TP-Link Archer A21 (AX1800). La falla, que tiene una puntuación de gravedad de 8.8, se describe como una falla de inyección de comando no autenticada en la API local de la interfaz de administración web en el dispositivo.
Red de bots Mirai
Los piratas informáticos están utilizando la falla para implementar el Mirai malware (se abre en una pestaña nueva), afirmó además ZDI, que convierte el dispositivo objetivo en un bot para la red de bots Mirai. Primero se dirigieron a los enrutadores en Europa del Este a principios de este mes, solo para expandirse globalmente más adelante.
TP-Link recibió un aviso sobre la existencia del día cero en enero de este año, luego de que dos grupos de investigación separados demostraran cómo abusar de la falla durante el evento de piratería Pwn2Own Toronto en diciembre de 2022. La compañía primero intentó solucionar el problema a fines febrero, pero el parche estaba incompleto y los dispositivos seguían siendo vulnerables.
Sin embargo, en abril, TP-Link emitió una nueva actualización de firmware que abordó con éxito CVE-2023-1389. Los administradores de TI y los propietarios del enrutador Wi-Fi Archer AX21 AX1800 deben asegurarse de que el hardware de su dispositivo esté actualizado al menos a la versión 1.1.4 Build 20230219.
Algunos de los síntomas de un enrutador comprometido incluyen desconexiones frecuentes de Internet, cambios en la configuración de red del dispositivo que nadie parece haber realizado, el restablecimiento de las credenciales del administrador y el sobrecalentamiento inexplicable del enrutador.