O Juniper Threat Labs descobriu a exploração ativa de novas vulnerabilidades no firmware de milhões de roteadores domésticos, bem como em vários dispositivos IoT usando a mesma base de código. O que eles têm em comum é que usam firmware da Arcadyan, um grande fabricante OEM de roteadores, terminais, decodificadores e outros dispositivos que são usados por muitas marcas.
As vulnerabilidades da Tenable CVE-2021-20090 e CVE-2021-20091 afetam roteadores de pelo menos 17 marcas, incluindo aqueles fornecidos aos usuários finais por ISPs. Eles permitem que você ignore a autenticação e altere a configuração do dispositivo, por exemplo, abrindo o acesso telnet com direitos de administrador.
Pior de tudo, a primeira vulnerabilidade está presente há mais de 10 anos, desde maio de 2008. De acordo com a Tenable, pelo menos 13 ISPs em 11 países estão usando dispositivos problemáticos. A segunda vulnerabilidade não está presente em todos os dispositivos, mas mesmo a primeira é suficiente para falsificar DNS ou, por exemplo, acessar outros dispositivos na rede local. Além disso, observam os pesquisadores, mesmo que não haja uma segunda vulnerabilidade, ainda há outras no firmware.
O Juniper Threat Labs identificou vários padrões de ataque que tentam explorar as vulnerabilidades. A fonte era um endereço IP em Wuhan, província de Hubei, China. Supõe-se que os invasores estão tentando implantar uma aparência do botnet Mirai. Há poucos dias, ficou claro que os ataques começaram em meados de fevereiro deste ano. E desde junho, os mesmos invasores começaram a usar adicionalmente outras vulnerabilidades em DLink, Cisco HyperFlex, Tenda e assim por diante.