Операторите на ботнета Mirai използват рутери TP-Link Archer за DDoS атаки
Американската държавна организация за киберсигурност и инфраструктурна сигурност (CISA) добави три нови уязвимости към своя азбучник с известни експлоатирани уязвимости. Предупреди, че те се експлоатират интензивно в дивата природа. Една от тези уязвимости визира безжичния маршрутизатор TP-Link Archer AX21 (AX1800) и се употребява от операторите на ботнета Mirai.
Заедно с експлойта на рутера TP-Link другите две уязвимости, включени в листата на CISA, включват уязвимостта Oracle WebLogic Server Unspecified Vulnerability, проследена като CVE-2023-21839, и уязвимостта Apache Log4j2 Deserialization of Untrusted Data Vulnerability, проследена като CVE-2021-45046.
Според организацията и трите типа уязвимости са чести вектори на офанзиви за киберпрестъпниците и съставляват „ забележителна опасност “ за потребителите.
Използването на маршрутизатора TP-Link е намерено за първи път на хакерското събитие Pwn2Own Toronto през декември предходната година. Два разнообразни екипа са съумели да пробият устройството, употребявайки LAN и WAN интерфейсите. Проблемът беше докладван на TP-Link през януари и компанията пусна кръпка за него предишния месец.
В изказване, отдадено на казуса, TP-Link съобщи, че приема уязвимостите в сигурността „ доста съществено “.
Компанията работи старателно за коригиране на всеки минус, който може да заплаши сигурността и поверителността на клиентите. Компанията също по този начин прикани всички консуматори на маршрутизатора AX21 да изтеглят и конфигурират актуализацията допустимо най-скоро.
Според Националната база данни за уязвимости (NVD) маршрутизаторите Archer AX21 Wi-Fi 6 на TP-Link с версии на фърмуера преди 1.1.4 Build 20230219 са наранени.
От накърнимост за инжектиране на команди, която разрешава прикрито отдалечено осъществяване на код, което е разрешавало на хакери да завладяват устройството и да го употребяват за разпределени офанзиви за отвод на услуга (DDoS) против сървъри за игри.
Въпреки съществуването на корекция обаче изследователската група Zero Day Initiative (ZDI) на Trend Micro е открила, че киберпрестъпниците употребяват уязвимостта интензивно. Според отчета офанзивите са били открити за първи път на 11 април в Източна Европа, само че от този момент са се популяризирали по целия свят.
Операторите на ботнета Mirai са известни с това, че употребяват дейно уязвимости в IoT устройства.
За откривателите не е огромна изненада, че са съумели да стартират да се насочват към последния минус толкоз скоро след общественото му откриване. Така или другояче, използването на кръпката е единственият метод за понижаване на уязвимостта. Всички притежатели на TP-Link Archer AX21 би трябвало да го създадат допустимо най-скоро, с цел да предотвратят възможен риск за сигурността.
