Especialistas en ciberseguridad reportan la detección de Manga, una nueva variante de la botnet Mirai enfocada especialmente en el compromiso de enrutadores TP-Link usando la vulnerabilidad CVE-2021-41653. La falla afecta a los enrutadores TL-WE840N EU, que ejecutan versiones de firmware no actualizadas.
La falla fue descrita como un error de ejecución remota de código (RCE) posterior a la autenticación, cuya explotación permitiría a los actores de amenazas remotos ejecutar comandos arbitrarios a través de cargas útiles especialmente diseñadas para su entrega en el campo de entrada de dirección IP.
Sobre la botnet, los investigadores mencionan que Manga, también conocida como Dark, funciona gracias a la explotación de la falla, que permite buscar y ejecutar un script malicioso que a su vez descarga las cargas útiles para completar el ataque. La botnet debe su nombre a una cadena de token que incluyó previamente en los comandos SSH/telnet, y a los binarios usados por los hackers (dark.arm, dark.mips y otros).
A mediados de este año, los operadores de este malware comenzaron a apuntar contra dispositivos Cisco, OptiLink y otros, aunque el riesgo de seguridad creció poco después de la divulgación pública de una falla. Como parte de los ataques recientemente identificados, los operadores de la botnet actualizaron el malware para agregar un exploit para CVE-2021-41653, en un intento de infectar dispositivos potencialmente vulnerables antes que recibieran actualizaciones.
La buena noticia es que la explotación de la falla requiere autenticación, por lo que los ataques se pueden prevenir reemplazando las credenciales predeterminadas por claves de seguridad lo suficientemente seguras. Como algo curioso, una vez que se ha ejecutado en un dispositivo vulnerable, el malware de la botnet puede evitar que otras amenazas infecten el dispositivo, bloqueando las conexiones a los puertos comúnmente explotados.
Según los comandos recibidos desde el C&C malicioso, se cree que la botnet puede lanzar múltiples variantes de ataque de denegación de servicio (DoS). La principal recomendación para los usuarios es mantener sus enrutadores siempre actualizados a la más reciente versión posible, además de usar claves de seguridad seguras.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.