Gli Juniper Threat Lab lanciano l’allarme, rilevata nei router con firmware Arcadyan la vulnerabilità CVE-2021-20090 (CVSS v3 base score 9.8/10, severità: Critica). Questa può venir sfruttata dai malintenzionati per prendere il controllo della macchina e farla riunire alla botnet Mirai.
In pratica, rende possibile prendere il controllo dell’apparecchio senza dover passare per una finestra di autenticazione.
Per quanto questa informazione possa suonare vaga e astratta, diventa molto più concreta se si pensa che affligge 20 modelli di router di 17 marche.
È ancor più preoccupante notare come moltissimi di questi siano i router dati dalle varie compagnie ai loro clienti, ad esempio Vodafone, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon,Telstra e Telus.
Sebbene questo “buco” esista da più di dieci anni, la prima notizia di questa vulnerabilità era arrivata a fine Aprile, ma solo il 3 Agosto è stato pubblicato un proof-of-concept.
Letteralmente milioni di routers sono vulnerabili a questo attacco.
Evan Grant di Tenant ha pubblicato su Medium un lungo resoconto delle sue ricerche a riguardo.
Due giorni dopo la pubblicazione della documentazione, i Juniper Threat labs hanno rilevato pattern sospetti di attività che potrebbero essere connessi al cercare di sfruttare questa falla. Le attività sospette partivano dalla tristemente famosa Wuhan. Sfruttando questa debolezza, i pirati stanno cercando di installare una nuova versione modificata della botnet Mirai
Nella versione integrale del rapporto Junyper, è possibile vedere gli indicatori di compromissione del sistema (IOCs), come adesempio gli IP da cui vengono lanciati gli attacchi o degli hash esemplificativi.
