Il personale della FortiGuard Labs ha identificato un elevato numero di Router prodotti dalla TP-Link compromessi dal Malware Condi, ed utilizzati per effettuare attacchi di tipo DDoS (Distributed Denial of Service).

Secondo quanto scoperto dai ricercatori, il malware conosciuto con il nome di “Condi” viene distribuito sfruttando una vulnerabilità dei sistemi prodotti dalla TP-Link, modello Archer AX21 (AX1800) Wi-Fi 6. Tali sistemi vengono compromessi sfruttando la vulnerabilità che corrisponde al CVE-2023-1389.

La vulnerabilità, scoperta nel mese di Marzo dal personale della ZDI, permette la compromissione dell’apparato attraverso un attacco di tipo “Command Injection” effettuabile tramite l’interfaccia web di gestione. Non è pertanto richiesto il possesso di credenziali di accesso all’apparato.

Il malware denominato “Condi” trasforma l’apparato in un membro di una botnet utilizzata per attacchi di tipo DDoS (Distributed Denial of Service). Per completezza vi ricordiamo che un attacco di tipo DDoS consiste nell’invio di un gran numero di pacchetti contenenti dati verso un unico obiettivo, con lo scopo di bloccare il servizio da esso fornito (Denial of Service) saturando le risorse dell’apparato. Viene definito “Distributed” (distribuito) poiché a compierlo non è un unico sistema remoto ma più sistemi contemporaneamente provenienti da diverse parti del mondo. Il concetto di botnet indica proprio questo: un sistema di coordinamento, definito anche centro di controllo da cui impartire istruzioni a tutti i membri del gruppo su quali sono le operazioni da eseguire: in questo caso l’invio di pacchetti Internet verso un unico obbiettivo.

I“Condi” ha al suo interno un modulo che gli permette di riconoscere i Router prodotti dalla TP-Link che presentano la vulnerabilità identificata come CVE-2023-1389. A seguito del riconoscimento di un sistema vulnerabile, è avviata l’esecuzione di uno script appositamente creato direttamente all’interno del Router TP-Link (sfruttando la vulnerabilità sopra descritta). Lo script si occupa di eliminare ogni altro eventuale processo appartenente ad altre botnet (nel caso in cui l’apparato sia stato in precedenza già infettato da altri Malware) e avvia il suo processo in ascolto, in attesa di ricevere istruzioni dal centro di controllo.

Poiché il malware non è in grado di assicurare la propria “persistenza” all’interno del sistema anche a seguito di un riavvio o spegnimento dell’apparato, la successiva azione effettuata riguarda la cancellazione di tutti i file di sistema che riguardano il riavvio o lo spegnimento dell’apparato. Ricordiamo che i router TP-Link modello Archer AX21 sono basati sul sistema operativo Linux, pertanto gli eseguibili rimossi dal malware sono principalmente ‘/usr/sbin/reboot’, ‘/usr/sbin/shutdown’ e similari.

Il nostro consiglio è quello di verificare la presenza di eventuali Router Wireless prodotti dalla TP-Link che corrispondono al modello Archer AX21 all’interno della propria Azienda e di verificare la versione del firmware presente al loro interno. Se essa è inferiore alla versione 1.1.4 Build 20230219, il vostro sistema è vulnerabile ed è pertanto necessario provvedere al più presto ad un suo aggiornamento completo. Per effettuare l’aggiornamento dell’apparato, fate riferimento alla guida ufficiale presente sul sito della TP-Link al seguente indirizzo:

• https://www.tp-link.com/us/support/download/archer-ax21/#Firmware