cve-2023-1389 - RunkIntel

# CVE-2023-1389 > [!high] Injeção de Comando no TP-Link Archer AX21 - Explorado por Botnets IoT > Vulnerabilidade de injeção de comando não autenticada na API de gerenciamento do roteador TP-Link Archer AX21, ativamente explorada por múltiplas botnets Mirai para recrutar dispositivos em ataques DDoS massivos. ## Visão Geral A [[cve-2023-1389|CVE-2023-1389]] é uma vulnerabilidade de injeção de comando na interface de gerenciamento local do roteador TP-Link Archer AX21 (Wi-Fi 6). A falha reside no endpoint de configuração de localização da API de gerenciamento, onde parâmetros de entrada não são devidamente sanitizados, permitindo a injeção de comandos arbitrários no sistema operacional do roteador sem autenticação. Após a públicação do PoC, múltiplas variantes de botnets baseadas em Mirai passaram a explorar esta vulnerabilidade ativamente. A campanha **Raptor Train** — atribuída a atores patrocinados pelo estado chinês — utilizou esta e outras CVEs em roteadores para construir uma infraestrutura de botnets IoT com mais de 60.000 dispositivos comprometidos. O impacto para o Brasil é direto: o TP-Link Archer AX21 é um dos roteadores Wi-Fi 6 mais vendidos no mercado brasileiro, presente em residências e pequenos escritórios. Dispositivos comprometidos são utilizados como proxies e infraestrutura de ataque para operações de espionagem e DDoS. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | TP-Link Archer AX21 | | Componente Vulnerável | API de gerenciamento (endpoint de localização) | | Tipo | Injeção de Comando OS (sem autenticação) | | Vetor | Rede local ou WAN (se management exposto) | | Exploração Ativa | Múltiplas botnets Mirai | | CVSS Base | 8.8 | ## Attack Flow Típica 1. Scanner identifica TP-Link Archer AX21 acessível na internet ou rede local 2. Envio de requisição POST maliciosa ao endpoint `/cgi-bin/luci/;stok=/locale` 3. Injeção de comando via parâmetro `country` — executa wget/curl para download do payload 4. Instalação do agente botnet (variante Mirai) 5. Dispositivo recrutado para pool de DDoS ou proxy para operações subsequentes ## TTPs Relacionados - [[t1190-exploit-public-facing-application|T1190]] - Exploração de Aplicação Pública - [[t1059-004-unix-shell|T1059.004]] - Shell Unix - [[t1105-ingress-tool-transfer|T1105]] - Transferência de Ferramenta - [[t1583-003-botnets|T1583.003]] - Botnets ## Mitigação - Atualizar firmware do TP-Link Archer AX21 para versão 1.1.4 Build 20230219 ou superior - Desabilitar acesso à interface de gerenciamento via WAN - Segmentar roteadores domésticos em VLAN separada de dispositivos corporativos - Monitorar tráfego de saída incomum a partir de dispositivos de rede > [!latam] Relevância para Brasil e LATAM > O TP-Link domina o mercado de roteadores residenciais e de pequenos escritórios no Brasil. A campanha Raptor Train utilizou específicamente dispositivos IoT comprometidos como infraestrutura para operações de espionagem. Roteadores sem atualização de firmware são alvo fácil e o Brasil figura entre os países com maior número de dispositivos IoT vulneráveis conectados à internet. ## Referências - [Zero Day Initiative - ZDI-23-451](https://www.zerodayinitiative.com/advisories/ZDI-23-451/) - [Black Lotus Labs - Raptor Train](https://blog.lumen.com/raptor-train/) - [NVD - CVE-2023-1389](https://nvd.nist.gov/vuln/detail/CVE-2023-1389)