Un attacco DDoS (Distributed Denial of Service) basato sul malware Mirai, denominato IZ1H9, ha incluso ben 13 nuovi modelli di router nella propria lista delle vittime. Si tratta di dispositivi basati su Linux, oltre ad alcuni prodotti di marchi importanti del settore come D-Link, Zyxel, TP-Link, TOTOLINK e tanti altri.
I ricercatori di Fortinet, in questo contesto, riferiscono di aver osservato un picco di attacchi alla prima settimana di settembre, con decine di migliaia di tentativi di sfruttamento rispetto ai dispositivi vulnerabili. IZ1H9 compromette i dispositivi con il fine di ingrandire la propria rete botnet, per poi lanciare attacchi DDoS su obiettivi specifici.
Fortinet ha voluto poi segnalare la lista con tutti gli exploit individuati, includendo le vulnerabilità che vanno dal 2015 al 2023:
- D-Link: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382
- Netis WF2419: CVE-2019-19356
- Sunhillo SureLine (versioni prima della 8.7.0.1.1): CVE-2021-36380
- Geutebruck: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554
- Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
- Zyxel EMG3525/VMG1312 (prima della V5.50): CVE non specificato ma prende di mira la vulnerabilità del componente /bin/zhttpd/
- TP-Link Archer AX21 (AX1800): CVE-2023-1389
- Korenix JetWave wireless AP: CVE-2023-23295
- TOTOLINK: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083.
La campagna prende di mira anche un CVE non specificato relativo al percorso “/cgi-bin/login.cgi”, che potrebbe influenzare il router Prolink PRC2402M.
IZ1H9: come funziona e come evitare infezioni?
Dopo aver sfruttato uno dei suddetti CVE, nel dispositivo viene iniettato un payload IZ1H9 contenente un comando per recuperare un downloader di script denominato l.sh da un URL specificato.
Al momento dell’esecuzione, lo script elimina i log per nascondere l’attività dannosa per poi recuperare client bot personalizzati per i diversi contesti hardware. Infine, lo script modifica le regole iptables del dispositivo per ostacolare la connessione su porte specifiche e rendere più difficile la rimozione del malware dal dispositivo. Dopo aver fatto tutto quanto sopra, il bot stabilisce la comunicazione con il server C2 e attende l’esecuzione dei comandi.
Per far fronte a IZ1H9, si consiglia ai proprietari di dispositivi IoT di utilizzare credenziali complesse (nome utente e password) per quanto riguarda l’amministratore e aggiornare i dispositivi all’ultima versione disponibile del firmware.