Fortinet deteta novo botnet a explorar falhas graves em dispositivos IoT

Investigadores do FortiGuard Labs da Fortinet detetaram a atividade de um novo malware botnet baseado em Mirai, denominado ShadowV2. O ataque visou dispositivos IoT da D-Link, TP-Link e outros fornecedores, explorando vulnerabilidades conhecidas.

A atividade do botnet foi observada durante a grande interrupção da AWS que ocorreu em outubro. Embora os incidentes não estivessem relacionados, o facto de o malware ter estado ativo apenas durante a interrupção pode sugerir que se tratou de um teste por parte dos atacantes.

O malware propagou-se explorando pelo menos oito vulnerabilidades em diversos produtos IoT como o DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721) e TP-Link (CVE-2024-53375).

As falhas CVE-2024-10914 e CVE-2024-10915 são particularmente preocupantes, pois afetam dispositivos D-Link em fim de vida, e a fabricante anunciou que não os irá corrigir, expondo permanentemente os utilizadores que não substituírem o hardware.

De acordo com os investigadores, os ataques ShadowV2 tiveram origem no endereço IP 198[.]199[.]72[.]27 e atacaram routers, dispositivos NAS e DVR em sete setores, incluindo governo, tecnologia, manufatura, fornecedores de serviços de segurança geridos e telecomunicações.

O malware identifica-se como “ShadowV2 Build v1.0.0 IoT version” e é semelhante à variante Mirai LZRD, afirmam os investigadores num relatório que fornece detalhes técnicos sobre o funcionamento do ShadowV2.

O impacto dos ataques foi global, tendo sido observados disrupções na Europa, América do Norte e do Sul, África, Ásia e Austrália.