Nova botnet explora vulnerabilidades em NVRs e roteadores TP-Link
Notícias

Nova botnet explora vulnerabilidades em NVRs e roteadores TP-Link

Recentemente, uma nova variante da botnet Mirai tem explorado vulnerabilidades em dispositivos de gravação de vídeo em rede (NVRs) e roteadores TP-Link com firmware desatualizado. A campanha maliciosa, identificada pela primeira vez em setembro de 2024, é mais uma demonstração da constante evolução das táticas dos cibercriminosos no ecossistema da Internet das Coisas (IoT).

Contexto e descoberta

A vulnerabilidade principal explorada pela botnet foi encontrada no modelo DigiEver DS-2105 Pro, que apresenta uma falha de execução remota de código (RCE). Essa vulnerabilidade, documentada pelo pesquisador Ta-Lun Yen da TXOne no ano passado, permite que atacantes não autenticados injetem comandos maliciosos por meio de requisições HTTP POST na URI /cgi-bin/cgi_main.cgi.

Pesquisadores da Akamai observaram a exploração desta falha em meados de novembro de 2024, mas descobriram evidências de que a campanha já estava ativa desde setembro. Os dispositivos comprometidos são utilizados para ataques de negação de serviço distribuído (DDoS) e para espalhar o malware para outros dispositivos vulneráveis.

Vulnerabilidades exploradas

Além do problema no DigiEver NVR, a botnet também explora outras vulnerabilidades conhecidas, como o CVE-2023-1389, presente em dispositivos TP-Link, essa falha permite que invasores injetem comandos maliciosos por meio do endpoint /cgi-bin/luci;stok=/locale. Outra vulnerabilidade explorada é o CVE-2018-17532, afetando roteadores Teltonika RUT9XX, permitindo a execução de scripts maliciosos via solicitações wget.

Em todos os casos, o objetivo é comprometer os dispositivos e integrá-los à botnet, utilizando métodos como a criação de “cron jobs” para persistência.

Características do malware

A variante Mirai usada nesta campanha possui diferenças notáveis em relação ao código original. Ela utiliza criptografia ChaCha20 e XOR para proteger seus dados, tornando a análise do malware mais complexa. Além disso, é compatível com diversas arquiteturas, incluindo x86, ARM e MIPS.

A utilização de criptografia avançada não é novidade, mas indica uma evolução nas táticas dos operadores de botnets baseadas no Mirai. Muitos ainda dependem da lógica de ofuscação original do código-fonte do Mirai, mas esta nova variante mostra um nível superior de sofisticação.

Como o ataque acontece

Os atacantes utilizam comandos como curl e chmod para baixar e executar o binário do malware em dispositivos vulneráveis. Por exemplo, no caso do DigiEver, a falha no campo ntp das requisições HTTP permite a injeção de comandos que conectam o dispositivo a servidores externos, onde o malware é armazenado.

Uma vez comprometido, o dispositivo passa a integrar a botnet e pode ser usado para lançar ataques DDoS, espalhar o malware para outros dispositivos, ou realizar atividades maliciosas sob controle remoto dos operadores da botnet.

Impacto e prevenção

O uso de dispositivos IoT inseguros é uma das principais causas da propagação de botnets como esta. Dispositivos com firmware desatualizado ou configurações de segurança inadequadas tornam-se alvos fáceis para cibercriminosos.

Para mitigar os riscos, é essencial:

  • Manter os dispositivos atualizados: Aplique patches de segurança assim que disponíveis;
  • Alterar credenciais padrão: Utilize senhas fortes e exclusivas;
  • Monitorar a rede: Ferramentas de detecção de ameaças podem identificar comportamentos anormais;
  • Segmentar redes IoT: Evite conectar dispositivos IoT diretamente à rede principal.

Conclusão

A descoberta desta botnet baseada no Mirai destaca a importância de manter dispositivos IoT seguros e atualizados. Vulnerabilidades em sistemas desatualizados representam uma porta de entrada para ataques que podem causar impactos significativos em redes corporativas e residenciais. A conscientização e a adoção de boas práticas de segurança são fundamentais para mitigar este tipo de ameça.

Fique por dentro das principais notícias da semana sobre tecnologia e Linux, assine nossa newsletter!

Diolinux Ofertas - Aproveite os melhores descontos em diversos produtos!