Il team di Akamai Security Intelligence and Response Team (SIRT) ha scoperto una nuova variante del malware Mirai, denominata Aquabot v3, che sfrutta una vulnerabilità critica nei telefoni SIP di Mitel. La falla di sicurezza, identificata come CVE-2024-41710, consente agli aggressori di eseguire comandi remoti sui dispositivi vulnerabili, compromettendo la sicurezza aziendale e trasformando potenzialmente questi dispositivi in strumenti per attacchi DDoS.
Aquabotv3 rappresenta un’evoluzione significativa rispetto alle versioni precedenti di Aquabot, aggiungendo una funzionalità mai osservata prima nei malware basati su Mirai, ovvero la capacità di comunicare con il proprio server di comando e controllo (C2) in caso di tentativi di rimozione o interruzione. Questa nuova funzionalità permette ai cybercriminali di monitorare attivamente l’integrità della propria botnet e di adattarsi in tempo reale alle contromisure adottate dalle vittime.
Dove attacca Aquabot?
La vulnerabilità CVE-2024-41710 è stata riscontrata nei telefoni Mitel delle serie 6800, 6900 e 6900w, inclusa l’unità per conferenze Mitel 6970 fino alla versione firmware R6.4.0.HF1. Il problema deriva da una falla nei meccanismi di sanitizzazione degli input, che consente agli aggressori di ottenere privilegi di root sul dispositivo tramite l’invio di richieste HTTP appositamente modificate.
Il SIRT di Akamai ha rilevato i primi tentativi di sfruttamento di questa vulnerabilità nel gennaio 2025 attraverso la propria rete globale di honeypot. Gli attaccanti utilizzano un payload che scarica ed esegue il malware direttamente sul dispositivo compromesso, trasformandolo in un nodo della botnet Aquabot. Oltre ai telefoni Mitel, il malware sta sfruttando altre vulnerabilità note per diffondersi ulteriormente, tra cui CVE-2018-17532, CVE-2023-26801, CVE-2022-31137 e falle di sicurezza in dispositivi Linksys e Gpon.
Per proteggersi dalla minaccia di Aquabot
Akamai consiglia alle aziende di:
- Aggiornare immediatamente il firmware dei dispositivi Mitel all’ultima versione disponibile.
- Monitorare il traffico di rete per identificare connessioni sospette con server C2 noti.
- Implementare misure di sicurezza avanzate, tra cui firewall, regole di Snort e Yara per il rilevamento degli indicatori di compromissione (IOC).
- Modificare le credenziali predefinite sui dispositivi IoT per prevenire accessi non autorizzati.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno.
