Când te gândești la botneturi, imaginea tipică e cea a atacurilor discrete lansate de pe aparate obişnuite: camere de supraveghere, routere sau DVR-uri. Această ştire tratează RondoDox, un botnet extins care exploatează zeci de vulnerabilităţi în peste 30 de categorii de dispozitive şi care operează din jurul lunii iunie, vizând orice este expus la internet: DVR-uri, NVR-uri, sisteme CCTV şi servere web.
RondoDox nu este un atac izolat şi silenţios; cercetătorii de la Trend Micro îl numesc un „exploit shotgun”, adică declanşează simultan numeroase exploit-uri pentru a mări şansele de infectare, chiar dacă astfel devine mai vizibil. După ce FortiGuard Labs a semnalat prezenţa botnetului, lista vulnerabilităţilor vizate s-a extins, printre ele se numără CVE-2024-3721 şi CVE-2024-12856. Botnetul profită chiar şi de vulnerabilităţi dezvăluite sau demonstrate la competiţii Pwn2Own, care sunt publice şi devin rapid utile pentru atacatori.
Un caz concret: RondoDox exploatează CVE-2023-1389, o defecţiune din routerul TP-Link Archer AX21, prezentată iniţial la Pwn2Own Toronto 2022. Pwn2Own, organizat de Zero Day Initiative, este o competiţie unde echipe etice demonstrează exploit-uri pentru produse larg folosite, un loc unde vulnerabilităţile ies la iveală, dar, din păcate, unele sunt transformate rapid în unelte pentru infractori, aşa cum s-a întâmplat în 2023 în anumite cazuri. Trend Micro observă că autorii RondoDox urmăresc atent aceste demonstraţii şi le convertesc în cod activ în timp scurt.
Pe lista vulnerabilităţilor folosite de RondoDox, după 2023, apar multiple probleme n-day, adică deja cunoscute dar exploatate pe scară largă: Digiever CVE-2023-52163, QNAP CVE-2023-47565, LB-LINK CVE-2023-26801, TRENDnet CVE-2023-51833, D-Link CVE-2024-10914, TBK CVE-2024-3721, Four-Faith CVE-2024-12856, Netgear CVE-2024-12847, AVTECH CVE-2024-7029, TOTOLINK CVE-2024-1781 şi alte CVE-uri pentru Tenda, Meteobridge, Edimax, Linksys, plus mai multe CVE-uri pentru TOTOLINK şi TP-Link. În plus, RondoDox foloseşte şi exploit-uri mai vechi, ceea ce devine problematic în special pentru echipamentele aflate la sfârşitul ciclului de viaţă, deoarece multe rămân neactualizate. Chiar şi hardware-ul susţinut dar neactualizat reprezintă o vulnerabilitate, pentru că utilizatorii adesea uită sau nu au timp să instaleze actualizările de firmware.
Trend Micro a mai identificat că RondoDox include exploit-uri pentru 18 vulnerabilităţi de tip command injection care încă nu au un CVE atribuit. Acestea afectează unităţi D-Link NAS, DVR-uri TVT şi LILIN, echipamente Fiberhome, ASMAX, routere Linksys, camere Brickcom şi alte endpointuri neidentificate. Asta demonstrează că atacatorii nu se limitează la probleme „celebre”; ei scanează şi exploatează orice găsesc deschis.
Recomandările de protecţie sunt clare şi practice: instalaţi ultimele versiuni de firmware disponibile pentru echipamente şi înlocuiţi dispozitivele care nu mai primesc suport (EoL). Segmantaţi reţeaua astfel încât dispozitivele expuse la internet sau cele pentru oaspeţi să fie izolate de reţeaua principală cu date sensibile. Înlocuiţi parolele implicite cu parole puternice şi unice. Aceşti paşi nu oferă garanţii absolute, dar reduc semnificativ suprafaţa de atac. De asemenea, riscul rămâne mai mare pentru echipamentele vechi sau neadministrate, deci inventarul şi actualizările sunt esenţiale.
Trend Micro subliniază o lecţie mai amplă: demonstraţiile publice de exploit-uri, precum cele de la Pwn2Own, contribuie legitim la descoperirea şi remedierea vulnerabilităţilor, dar intervalul scurt dintre demonstraţie şi weaponizare le permite actorilor rău-intenţionaţi să profite rapid. Exemplele din text includ CVE-2023-1389 (TP-Link Archer AX21) şi CVE-2024-3721, foarte folosite de RondoDox. Datele arată că atât echipamentele vechi, cât şi cele noi dar neactualizate, sunt ţinte atractive pentru botneturi care aplică strategii de amploare.
RondoDox ne aminteşte că securitatea dispozitivelor conectate nu este doar o problemă tehnică pentru specialişti; este responsabilitatea fiecărui utilizator care îşi conectează routerul, camera sau NAS la internet. Tu cum gestionezi actualizările şi inventarul dispozitivelor din locuinţa sau biroul tău?
Fii primul care comentează