Una vulnerabilità recentemente divulgata nei router che eseguono il firmware Arcadyan è attualmente sfruttata in natura da attori di minacce sconosciuti.
La vulnerabilità, che è stato rivelato dai ricercatori di Tenable ad agosto 3, esiste da almeno un decennio. Sono almeno colpiti 20 modelli di router da 17 venditori, compreso Verizon, Vodafone, Telus, Telstra, Asus, Beeline, British Telecom, Telekom tedesca, bufalo, arancia. Il difetto in questione, noto con l'identificatore CVE-2021-20090, è critico, con un punteggio di CVSS 9.9.
Che cos'è CVE-2021-20090?
CVE-2021-20090 è una vulnerabilità di attraversamento del percorso nelle interfacce web dei router che eseguono il firmware Arcadyan. Il difetto potrebbe consentire agli hacker remoti non autenticati di aggirare l'autenticazione. Gli hacker lo stanno attualmente sfruttando negli attacchi DDoS contro i router domestici, infettandoli con una variante della famigerata botnet Mirai. Il risultato sono gli attacchi DDoS. Lo sfruttamento riuscito concederebbe agli hacker sconosciuti l'accesso a informazioni sensibili, come token di richiesta validi. Una volta ottenuta, questi potrebbero essere quindi utilizzati per effettuare richieste di modifica delle impostazioni del router interessato.
Attacchi che sfruttano CVE-2021-20090
In agosto 6, I ricercatori di Juniper “hanno identificato alcuni schemi di attacco che tentano di sfruttare questa vulnerabilità in natura proveniente da un indirizzo IP situato a Wuhan, provincia di Hubei, Cina." Sembrava che gli hacker stessero tentando di implementare una variante Mirai in un modo simile a un attacco divulgato da Palo Alto Networks a marzo 2021.
“Avevamo assistito alla stessa attività a partire da febbraio 18. La somiglianza potrebbe indicare che lo stesso attore di minacce è dietro questo nuovo attacco e sta tentando di aggiornare il proprio arsenale di infiltrazione con un'altra vulnerabilità appena divulgata. Dato che la maggior parte delle persone potrebbe non essere nemmeno consapevole del rischio per la sicurezza e non aggiornerà il proprio dispositivo in qualunque momento presto, questa tattica di attacco può avere molto successo, economico e facile da eseguire," Juniper ha detto.
Altre vulnerabilità sfruttate insieme a CVE-2021-20090
Sembra che questo problema di attraversamento del percorso nei router con esecuzione di Arcadyan non sia l'unico che gli hacker non identificati hanno sfruttato in passato. Altre vulnerabilità includono CVE-2020-29557 nei dispositivi D-Link DIR-825 R1, CVE-2021-1497 e CVE-2021-1498 in Cisco HyperFlex HX, CVE-2021-31755 in Tenda AC11, CVE-2021-22502 in Micro Focus Operation Bridge Reporter, e CVE-2021-22506 in Micro Focus Access Manager.
Per evitare qualsiasi rischio derivante da qualsiasi vulnerabilità, gli utenti dovrebbero aggiornare il firmware del router alla versione più recente non appena viene resa disponibile una patch.
È interessante notare che il mese scorso Microsoft ha rivelato una serie di falle di sicurezza nei router Netgear. I difetti potrebbero portare a perdite di dati e acquisizioni complete del sistema. Per fortuna, le vulnerabilità sono state corrette prima della divulgazione pubblica.