CVE-2023-1389

Nome do Software Vulnerável e Versões Afetadas TP-Link Archer AX21 versões anteriores a 1.1.4 Build 20230219

Descrição Um invasor não autenticado pode executar comandos arbitrários com privilégios de root na interface de gerenciamento web por meio de uma falha de injeção de comando. O problema ocorre porque o parâmetro country na operação de gravação do endpoint '/cgi-bin/luci;stok=/locale' não é sanitizado antes de ser processado pela função popen(). Esta falha foi explorada por atores ligados ao estado chinês e várias botnets, incluindo Mirai, RondoDox e Ballista. A botnet Ballista comprometeu mais de 6.000 dispositivos em todo o mundo, visando especificamente setores como saúde, manufatura e tecnologia em países como Brasil, Polônia, Turquia, Reino Unido e EUA. Uma vez comprometido, o malware estabelece um canal de comando e controle criptografado para realizar ataques de DDoS, redirecionar usuários para sites de phishing alterando as configurações de DNS e roubar arquivos confidenciais.

Recomendações Atualize para a versão de firmware 1.1.4 Build 20230219 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cgi-bin/luci;stok=/locale' ou desative a interface de gerenciamento web para minimizar o risco de exploração.