Sintesi

Ricercatori di sicurezza hanno recentemente osservato una nuova campagna di diffusione malware denominata “ShadowV2”. Tale campagna è volta a sfruttare vulnerabilità note presenti in dispositivi IoT, al fine di ottenerne il controllo e integrarli in botnet, da utilizzare in successivi attacchi di tipo Distributed Denial of Service (DDoS).

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato tentativi di sfruttamento attivo collegati a una botnet basata su Mirai denominata “ShadowV2”. La variante risulta diffondersi a livello globale – con alcuni target localizzati anche sul territorio italiano – attraverso lo sfruttamento di diverse vulnerabilità note presenti in dispositivi IoT.

Le compromissioni analizzate hanno interessato diversi settori, tra cui tecnologia, telecomunicazioni, manifatturiero, governativo, istruzione, retail e alberghiero.

Prodotti e versioni affette

In particolare, sono state sfruttate vulnerabilità che interessano i prodotti dei seguenti vendor:

• DDWRT: CVE-2009-2765
• D-Link: CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
• DigiEver: CVE-2023-52163
• TBK: CVE-2024-3721
• TP-Link: CVE-2024-53375

Dettaglio delle vulnerabilità note sfruttate

Sulla base delle evidenze raccolte, la campagna ha visto lo sfruttamento delle vulnerabilità note riportate di seguito:

• CVE-2009-2765 (Improper Input Validation): interessa il server HTTP di gestione presente nell’interfaccia web di DD-WRT (versioni fino alla build 12533, inclusa la release v24 SP1). La vulnerabilità è causata da mancata validazione dell’input in httpd.c , che consente l’inserimento di metacaratteri di shell in richieste verso URI cgi-bin/ . Un attaccante remoto non autenticato può sfruttare questa falla per eseguire comandi arbitrari sul dispositivo.
• CVE-2020-25506 (OS Command Injection): riguarda il componente system_mgr.cgi nei dispositivi D-Link DNS-320 (firmware v2.06B01 Rev. Ax). Il problema risiede nella funzione cgi_ntp_time del file system_mgr.cgi . L’incompleta neutralizzazione di caratteri speciali in comandi di sistema potrebbe consentire a un attaccante remoto non autenticato di sottomettere comandi arbitrari.
• CVE-2022-37055 (Buffer Overflow): interessa i router D-Link GO-RT-AC750 (versioni GORTAC750_revA_v101b03 e GO-RT-AC750_revB_FWv200b02). La vulnerabilità è causata da assenza di controlli sulla dimensione del buffer nelle componenti cgibin e hnap_main, e potrebbe essere sfruttata da un attaccante remoto per provocare un “buffer overflow” e distribuire codice malevolo.
• CVE-2024-10914 (OS Command Injection): interessa i dispositivi D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L (fino alle versioni firmware 20241028). Il problema risiede nella funzione cgi_user_add del file /cgi-bin/account_mgr.cgi , che gestisce il parametro “name” senza adeguata sanitizzazione. Un attaccante remoto può sfruttare questa falla per eseguire comandi di sistema arbitrari.
• CVE-2024-10915 (OS Command Injection): simile alla precedente, ma riguarda la manipolazione del parametro “group” nella stessa funzione cgi_user_add del file /cgi-bin/account_mgr.cgi sui dispositivi D-Link DNS-320, DNS-320LW, DNS-325 e DNS-340L. Anche qui, l’assenza di sanitizzazione consente l’esecuzione di comandi di sistema arbitrari.
• CVE-2023-52163 (Missing Authorization): interessa i dispositivi DigiEver DS-2105 Pro (firmware 3.1.0.71-11). La vulnerabilità risiede nella componente CGI del web-server integrato time_tzsetup.cgi , utilizzata per la configurazione del fuso orario: a causa di controlli non sufficienti sui parametri di input e all’assenza di adeguati meccanismi di autorizzazione, un attaccante potrebbe eseguire comandi arbitrari sulle istanze target.
• CVE-2024-3721 (OS Command Injection): questa vulnerabilità riguarda i DVR TBK DVR-4104 e DVR-4216 (fino al firmware 20240412) ed è dovuta ad input non sanitizzato nei parametri mdb/mdc del file /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___ . Tramite opportuna manipolazione di questi parametri, un attaccante remoto non autenticato può sfruttare tale vulnerabilità per iniettare comandi di sistema, ottenendo il controllo del dispositivo.
• CVE-2024-53375 (OS Command Injection): interessa i router TP-Link Archer con funzionalità HomeShield. La vulnerabilità è dovuta alla mancata sanitizzazione dell’input passato a os.execute dalla funzione tmp_get_sites . Un utente autenticato può sfruttare tale vulnerabilità per eseguire comandi arbitrari sul dispositivo. N.B. Il dispositivo rimane vulnerabile anche con la funzionalità HomeShield disattivata.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure preventive:

• applicare regolarmente le patch di sicurezza, qualora disponibili, riducendo la superficie di attacco sfruttabile da vulnerabilità note;
• valutare la sostituzione di prodotti giunti a fine ciclo di vita (EOL), che non riceveranno ulteriori aggiornamenti dal vendor, con soluzioni moderne e supportate;
• esporre all’esterno solo i servizi strettamente necessari, limitando l’accesso tramite firewall e VPN;
• implementare la segmentazione della rete e VLAN dedicate al fine di isolare eventuali sistemi critici;
• rimuovere dalle configurazioni componenti e moduli non necessari;
• disabilitare funzionalità predefinite non utilizzate e applicare configurazioni sicure consigliate dai vendor.

Si suggerisce inoltre di valutare la verifica e l’implementazione degli Indicatori di Compromissione (IoC), forniti al link presente nella sezione Riferimenti, sui propri apparati di sicurezza.