In sintesi
Una nuova e sofisticata variante della botnet Gafgyt, denominata C0XMO, sta diffondendosi attivamente prendendo di mira il firmware dei router DD-WRT. Questa minaccia, scoperta dai ricercatori di Fortinet, si distingue per la sua capacità di sfruttare la vulnerabilità CVE-2021-27137, un difetto di buffer overflow che consente l’esecuzione arbitraria di codice senza autenticazione. Il malware non si limita ai soli router, ma è in grado di compromettere un’ampia gamma di dispositivi basati su diverse architetture CPU, tra cui ARM, MIPS, PowerPC, SuperH, x86 e x86_64, estendendosi a DVR, piattaforme di gestione video e dispositivi Android.
L’attacco iniziale è reso possibile dall’exploit della CVE-2021-27137, una vulnerabilità che deriva da un’insufficiente gestione degli input utente e che apre la strada all’esecuzione di codice arbitrario senza la necessità di credenziali. Per una diffusione più ampia e per il movimento laterale, C0XMO scarica uno script Python che installa pacchetti necessari per lo scanning di rete e la comunicazione, operando su protocolli come SSH e Telnet. Lo scanner esamina sistemi esposti su porte comuni (22, 23, 80/443, 7547, 8080, 8443, 8888), tentando successivamente attacchi a forza bruta su credenziali Telnet e SSH deboli per distribuire il payload compatibile con l’architettura CPU rilevata. Fortinet ha sottolineato il design modulare di C0XMO, che consente agli operatori di aggiornare le tecniche di exploit e di espandere le capacità di movimento laterale indipendentemente dal payload principale, indicando un livello di sofisticazione operativa superiore rispetto alle botnet IoT tipiche.
Una volta ottenuto l’accesso, C0XMO ha come obiettivo primario il lancio di attacchi Distributed Denial-of-Service (DDoS), supportando ben 19 diverse metodologie, inclusi flood UDP/TCP/SYN/ICMP e attacchi di amplificazione. Il malware assicura la sua persistenza copiandosi in posizioni nascoste (es. /tmp/.sys, /var/tmp/.sys, /dev/shm/.sys) e creando cron job che lo riavviano ogni 15 minuti, oltre a modificare i file di avvio della shell. Un’altra caratteristica notevole è la sua capacità di eliminare la concorrenza: C0XMO scansiona attivamente i processi in esecuzione per identificare e terminare client di botnet rivali, strumenti di ‘red-team’, strumenti di programmazione e servizi di rete che potrebbero interferire con le sue operazioni, cancellando i loro binari e rimuovendo i relativi meccanismi di persistenza.
La diffusione di botnet come C0XMO rappresenta una minaccia significativa per le organizzazioni che trattano dati personali e per la loro conformità normativa. Sebbene il testo non faccia riferimento diretto a fughe di dati, l’esecuzione di codice arbitrario e il movimento laterale possono facilmente portare a compromettere l’integrità, la disponibilità e la riservatezza dei dati, pilastri fondamentali del GDPR. La compromissione di dispositivi IoT e infrastrutture di rete critiche è inoltre un fattore rilevante ai sensi della direttiva NIS2, che impone obblighi stringenti di gestione del rischio cybersecurity e di notifica degli incidenti per gli enti essenziali e importanti. La sofisticazione di C0XMO, descritta da Fortinet come “un’architettura e un set di funzionalità considerevolmente più avanzati”, richiede un approccio proattivo alla sicurezza, in linea con i requisiti della norma ISO 27001 per la gestione della sicurezza delle informazioni.
Per difendersi efficacemente da C0XMO e malware botnet simili, le raccomandazioni generali fornite dai ricercatori sono chiare e includono pratiche fondamentali di igiene informatica. È essenziale
- mantenere aggiornati tutti i dispositivi e i firmware, in particolare quelli esposti a internet, per sanare vulnerabilità note come la CVE-2021