Une variante du botnet Mirai appelée Mode bête a été observé adoptant des vulnérabilités nouvellement révélées dans les routeurs TOTOLINK entre février et mars 2022 pour infecter des appareils non corrigés et étendre potentiellement sa portée.

« La campagne DDoS basée sur Beastmode (alias B3astmode) Mirai a mis à jour de manière agressive son arsenal d’exploits », a déclaré l’équipe de recherche FortiGuard Labs de Fortinet. mentionné. « Cinq nouveaux exploits ont été ajoutés en un mois, dont trois ciblant différents modèles de routeurs TOTOLINK. »

La liste des vulnérabilités exploitées dans les routeurs TOTOLINK est la suivante –

• CVE-2022-26210 (Score CVSS : 9,8) – Une vulnérabilité d’injection de commande qui pourrait être exploitée pour obtenir l’exécution de code arbitraire
• CVE-2022-26186 (Score CVSS : 9,8) – Une vulnérabilité d’injection de commande affectant les routeurs TOTOLINK N600R et A7100RU, et
• CVE-2022-25075 à CVE-2022-25084 (Scores CVSS : 9,8) – Une vulnérabilité d’injection de commande affectant plusieurs routeurs TOTOLINK, entraînant l’exécution de code

Les autres exploits ciblés par Beastmode incluent des failles dans la caméra IP TP-Link Tapo C200 (CVE-2021-4045score CVSS : 9,8), routeurs Huawei HG532 (CVE-2017-17215score CVSS : 8,8), les solutions de vidéosurveillance de NUUO et Netgear (CVE-2016-5674score CVSS : 9,8) et les produits D-Link abandonnés (CVE-2021-45382score CVSS : 9,8).

Pour éviter que les modèles concernés ne soient repris par le botnet, il est fortement recommandé aux utilisateurs de mettre à jour leurs appareils avec le dernière version.

« Même si l’auteur original de Mirai a été arrêté à l’automne 2018, [the latest campaign] souligne comment les acteurs de la menace, tels que ceux à l’origine de la campagne Beastmode, continuent d’incorporer rapidement le code d’exploitation nouvellement publié pour infecter les appareils non corrigés à l’aide du malware Mirai », ont déclaré les chercheurs.