.
Os malfeitores estão explorando dois bugs de segurança para os quais existem patches, um em uma rede VMware e ferramenta de monitoramento de aplicativos e outro em alguns roteadores TP-Link.
Há duas semanas, a VMware emitiu uma correção para CVE-2023-20887, uma vulnerabilidade crítica de injeção de comando no Aria Operations for Networks que pode ser abusada para obter a execução remota de código.
Enquanto isso, o TP-Link corrigiu o CVE-2023-1389 em meados de março. Essa é outra vulnerabilidade de injeção de comando que pode levar à execução remota de código. Ontem, os pesquisadores da Fortinet alertaram que um botnet DDoS-as-a-service chamado Condi está se espalhando explorando roteadores TP-Link Archer AX21 ainda vulneráveis.
Então, se isso soa como um conto de advertência sobre coisas ruins acontecendo com produtos não corrigidos… é.
O bug VMware com classificação de gravidade 9,8 em 10, CVE-2023-20887, foi divulgado e corrigido pela gigante da virtualização em 7 de junho, juntamente com duas outras vulnerabilidades no Aria Operations for Networks: CVE-2023-20888, uma vulnerabilidade de desserialização autenticada que recebeu uma pontuação de gravidade de 9,1, e CVE-2023-20889, uma vulnerabilidade de divulgação de informações com classificação de 8,8.
Pesquisador Sina Kheirkhah, trabalhando com a Zero Day Initiative da Trend Micro encontrado e relatado todos os três problemas de segurança para VMware e, na semana passada, Kheirkhah carregou um exploração de prova de conceito para CVE-2023-20887 para o GitHub.
Ontem GreyNoise CEO Andrew Morris soou o alarme que o bug do VMware foi explorado na natureza. Esses ataques começou em 13 de junho e originado de dois endereços IP, de acordo com a plataforma de análise da empresa.
Também ontem, a VMware atualizou seu aviso de segurança: “A VMware confirmou que a exploração do CVE-2023-20887 ocorreu na natureza”.
Botnet Condi à solta
O segundo bug sob exploração ativa, CVE-2023-1389, afeta as versões de firmware do TP-Link Archer AX21 anteriores a 1.1.4. A TP-Link divulgou a falha em abril, depois de lançar atualizações de firmware no mês anterior.
em seu Aviso de segurança de 27 de abril para os roteadores com bugs, o fornecedor incluindo o seguinte aviso em letras vermelhas:
Mas, aparentemente, nem todos levaram a sério esse aviso, porque em 1º de maio a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA adicionado CVE-2023-1389 ao seu conhecido catálogo de vulnerabilidades exploradas.
E agora, de acordo com os pesquisadores do FortiGuard Labs Joie Salvio e Roy Tay, um novo botnet baseado em Mirai chamado Condi é espalhando via CVE-2023-1389 da TP-Link.
O botnet está sendo vendido como parte de um pacote de negação de serviço distribuído (DDoS) em um canal do Telegram chamado Condi Network, que oferece DDoS como um serviço que outros criminosos podem alugar e também vende o código-fonte do malware.
Os ataques DDoS, que inundam as redes das organizações com tráfego indesejado para sobrecarregar os sistemas e impedir que usuários legítimos acessem serviços, não exigem muito conhecimento técnico em primeiro lugar. E esses tipos de Serviços DDoS de aluguel e botnets, é claro, diminuem ainda mais a barreira de entrada no crime cibernético.
Desde o final de maio, a loja de segurança viu um “número crescente” de amostras de Condi, o que significa que os malfeitores estão trabalhando ativamente para expandir o exército de botnets.
Enquanto a amostra que os dois pesquisadores analisaram apenas escaneou o CVE-2023-1389, “outras amostras de botnet Condi também foram vistas explorando outras vulnerabilidades para se propagar”, alertaram Salvio e Tay. “O código-fonte disponível publicamente para versões mais antigas também inclui scanners para vulnerabilidades conhecidas exploradas por outras variantes do Mirai”. ®
.
