Ricercatori di sicurezza hanno individuato una nuova campagna malware denominata “ShadowV2”, basata sul malware Mirai, progettata per compromettere dispositivi Internet of Things (IoT) vulnerabili e integrarli in botnet da impiegare in attacchi DDoS (Distributed Denial of Service) su larga scala. La variante risulta attualmente diffusa a livello globale, con tentativi di compromissione localizzati anche in Italia.
La campagna sfrutta un ampio insieme di vulnerabilità note presenti in router, DVR e dispositivi di archiviazione di diversi produttori, molte delle quali consentono l’esecuzione di comandi arbitrari da remoto senza autenticazione. Una volta ottenuto l’accesso, i dispositivi vengono integrati nell’infrastruttura della botnet, aumentando la capacità offensiva degli attaccanti.
Le compromissioni analizzate hanno interessato diversi settori, tra cui tecnologia, telecomunicazioni, manifatturiero, governativo, istruzione, retail e alberghiero. In particolare, sono state sfruttate vulnerabilità che interessano i prodotti dei seguenti vendor:
- DDWRT: CVE-2009-2765
- D-Link: CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
- DigiEver: CVE-2023-52163
- TBK: CVE-2024-3721
- TP-Link: CVE-2024-53375
ShadowV2 rappresenta l’ennesima evoluzione dell’ecosistema Mirai e conferma come i dispositivi IoT non aggiornati o giunti a fine vita continuino a costituire un bersaglio privilegiato. Il CSIRT Italia di ACN raccomanda di applicare le patch di sicurezza, sostituire i prodotti non più supportati, limitare i servizi esposti con firewall e VPN, segmentare la rete, rimuovere componenti inutili, disabilitare funzionalità non necessarie e adottare configurazioni sicure dei vendor, oltre a verificare e implementare gli Indicatori di Compromissione (IoC) forniti nella pagina ufficiale.
