Uma vulnerabilidade recentemente divulgada em roteadores que executam firmware Arcadyan está sendo explorada atualmente por agentes de ameaças desconhecidos.
a vulnerabilidade, que foi divulgado pelos pesquisadores da Tenable em agosto 3, existe há pelo menos uma década. Afetados são pelo menos 20 modelos de roteador de 17 vendedores, incluindo Verizon, Vodafone, Telus, Telstra, Asus, Beeline, British Telecom, alemã Telekom, Búfalo, laranja. A falha em questão, conhecido pelo identificador CVE-2021-20090, é crítico, com uma pontuação CVSS de 9.9.
O que é CVE-2021-20090?
CVE-2021-20090 é uma vulnerabilidade de passagem de caminho nas interfaces da web de roteadores que executam firmware Arcadyan. A falha pode permitir que hackers remotos não autenticados contornem a autenticação. Os hackers estão explorando-o atualmente em ataques DDoS contra roteadores domésticos, infectando-os com uma variante do infame botnet Mirai. O resultado são ataques DDoS. A exploração bem-sucedida garantiria a hackers desconhecidos acesso a informações confidenciais, como tokens de solicitação válidos. Uma vez obtido, estes podem ser usados para fazer solicitações para alterar as configurações do roteador afetado.
Ataques que exploram CVE-2021-20090
Em agosto 6, Recearchers Juniper “identificaram alguns padrões de ataque que tentam explorar esta vulnerabilidade em estado selvagem vindo de um endereço IP localizado em Wuhan, Província de Hubei, China." Parece que os hackers estavam tentando implantar uma variante do Mirai de maneira semelhante a um ataque divulgado pela Palo Alto Networks em março 2021.
“Tínhamos testemunhado a mesma atividade a partir de fevereiro 18. A semelhança pode indicar que o mesmo ator de ameaça está por trás desse novo ataque e tentando atualizar seu arsenal de infiltração com outra vulnerabilidade recentemente divulgada. Dado que a maioria das pessoas pode nem estar ciente do risco de segurança e não atualizará seu dispositivo tão cedo, esta tática de ataque pode ter muito sucesso, barato e fácil de realizar,” Juniper disse.
Outras vulnerabilidades exploradas juntamente com CVE-2021-20090
Parece que esse problema de travessia de caminho em roteadores executando Arcadyan não é o único que hackers não identificados exploraram no passado. Outras vulnerabilidades incluem CVE-2020-29557 em dispositivos D-Link DIR-825 R1, CVE-2021-1497 e CVE-2021-1498 em Cisco HyperFlex HX, CVE-2021-31755 em Tenda AC11, CVE-2021-22502 no Micro Focus Operation Bridge Reporter, e CVE-2021-22506 no Micro Focus Access Manager.
Para evitar quaisquer riscos decorrentes de qualquer vulnerabilidade, os usuários devem atualizar o firmware do roteador para a versão mais recente assim que um patch for disponibilizado.
Vale ressaltar que no mês passado a Microsoft divulgou uma série de falhas de segurança em roteadores Netgear. As falhas podem levar a vazamentos de dados e controle total do sistema. Felizmente, as vulnerabilidades foram corrigidas antes da divulgação pública.