Canal de Telegram

9 dic 2021

Segu-Info » » Vulnerabilidad crítica en routers TP-Link permite la propagación de la botnet MANGA

Vulnerabilidad crítica en routers TP-Link permite la propagación de la botnet MANGA

9 dic 2021, 1:33:00 p.m.   Comenta primero!
   

La semana pasada, el equipo de FortiGuard Labs encontró una muestra de malware que se está distribuyendo actualmente y está dirigida a los routers  inalámbricos TP-link. Este malware aprovecha una vulnerabilidad RCE recientemente publicada, hace apenas dos semanas.

Esta es una variante actualizada de la campaña MANGA (también conocida como DARK) que distribuye muestras basadas en el código fuente publicado de Mirai. Esta campaña ha estado siendo monitoreanda activamente. La campaña originalmente despertó el interés debido a la actualización continua de su lista de vulnerabilidades objetivo.

TP-Link ya ha lanzado un firmware actualizado para esta versión de hardware afectada y se recomienda encarecidamente a los usuarios que actualicen sus dispositivos.

Esta campaña de botnet basada en Mirai se conoce como MANGA debido a la cadena de token que solía incluir en sus comandos SSH/telnet. También se lo conoce como DARK debido a los nombres de archivo utilizados para sus binarios (por ejemplo, Dark.arm, dark.mips, etc.).

Al explotar las vulnerabilidades publicadas recientemente, esta campaña de malware aprovecha la brecha entre el momento de la divulgación de una vulnerabilidad y la aplicación de un parche para comprometer los dispositivos de IoT. Esto le da un mayor potencial de propagación, lo que lo hace más prolífico que redes de bots similares. La última incorporación a su lista en constante crecimiento de vulnerabilidades específicas son los enrutadores inalámbricos domésticos TP-Link, en particular el modelo TL-WR840N EU (V5).

La vulnerabilidad CVE-2021-41653, recién se descubrió el 12 de noviembre de este año. Y, apenas dos semanas después, el 22 de noviembre, se vio una muestra de la campaña de malware MANGA explotándola activamente en la naturaleza.

Kamilló Matek analiza todos los detalles de esta vulnerabilidad en este artículo. En resumen, un parámetro de host vulnerable permite a los usuarios autenticados ejecutar comandos arbitrarios en el dispositivo de destino.

En este caso, se está explotando para obligar a los dispositivos vulnerables a descargar y ejecutar un script malicioso, tshit.sh, que luego descarga las principales cargas útiles binarias.

Fuente: Fortinet

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!