Il Team di Akamai scopre vulnerabilità gravi in dispositivi FXC, sfruttate per costruire botnet dannose.
Gli esperti di Akamai hanno dato l’allarme riguardante due gravi lacune di sicurezza in dispositivi di rete di Future X Communications. Le falle riguardano due modelli di router, AE1021 e AE1021PE, e presentano livelli di pericolosità tali da consentire aggressioni di tipo esecuzione di codice remoto (RCE). Questa tipologia di vulnerabilità rappresenta una minaccia di rilievo in quanto potrebbe autorizzare soggetti non autorizzati a prendere il controllo dei dispositivi infetti.
La presenza di questi difetti di sicurezza è stata accertata durante l’osservazione di una botnet DDoS di dimensioni considerevoli, costruita attraverso il reclutamento di dispositivi infetti dal noto malware Mirai, celebre per le sue campagne distruttive condotte tramite attacchi distribuiti di negazione del servizio.
L’analisi del Security Intelligence Response Team (SIRT) di Akamai ha stimato un’intensa attività di sfruttamento delle vulnerabilità, da parte di malintenzionati, sin dalla fine del 2022. Successivamente al rilascio di una patch correttiva da parte di uno dei fornitori interessati, il team ha divulgato maggiori dettagli sulla propria serie di avvisi InfectedSlurs oltre a fornire consigli utili a mitigare l’impatto degli attacchi.
Compromettendo tali dispositivi, l’obiettivo dei criminali informatici è quello di espandere ulteriormente la propria rete di macchine-zombie, le quali possono essere comandate a distanza per generare flussi di traffico web ingenti e coordinati, con il proposito di sovraccaricare e mettere fuori servizio risorse online.
Le indicazioni di Akamai includono un elenco dettagliato di Indicatori di Compromissione (IOC),nonché set di regole Snort e Yara, pensati per gli addetti ai lavori affinché possano identificare e contrastare i tentativi di exploit e di conseguenza le infezioni in corso sulle reti
La criticità identificata assume il codice identificativo di CVE-2023-49897 e ha ottenuto un punteggio di 8,0 secondo il sistema di valutazione CVSS v3. Per sfruttare la vulnerabilità, l’attaccante necessita di accedere autenticandosi al sistema, utilizzando spesso credenziali di fabbrica non modificate, per poi eseguire comandi tramite l’invio di un payload per mezzo di una richiesta POST all’interfaccia di gestione del router. Questo exploit rappresenta quindi una seria minaccia alla sicurezza delle reti che utilizzano dispositivi vulnerabili.
Nell’ottica di salvaguardare la sicurezza delle infrastrutture digitali, Akamai si impegna a monitorare costantemente il campo delle minacce informatiche e si fa portavoce di aggiornamenti tempestivi sulla situazione e sulle ricerche in corso, condividendole anche sulla propria piattaforma Twitter.