ΑρχικήsecurityΤο Mirai malware εκμεταλλεύεται ευπάθεια στο router WiFi TP-Link Archer

Το Mirai malware εκμεταλλεύεται ευπάθεια στο router WiFi TP-Link Archer

Το botnet κακόβουλου λογισμικού Mirai εκμεταλλεύεται ενεργά μια ευπάθεια στο router WiFi Archer A21 (AX1800) της TP-Link, που εντοπίζεται ως CVE-2023-1389, για να ενσωματώσει συσκευές σε σμήνη DDoS (distributed denial of service).

Οι ερευνητές έκαναν για πρώτη φορά abuse του ελαττώματος κατά τη διάρκεια της εκδήλωσης hacking Pwn2Own Toronto τον Δεκέμβριο του 2020, όπου δύο διαφορετικές ομάδες hacking παραβίασαν τη συσκευή χρησιμοποιώντας διαφορετικά pathways (πρόσβαση σε διασύνδεση LAN και WAN).

Το ελάττωμα αποκαλύφθηκε στην TP-Link τον Ιανουάριο του 2023, ενώ η TP-Link κυκλοφόρησε μια διόρθωση τον περασμένο μήνα σε μια νέα ενημερωμένη έκδοση υλικολογισμικού.

Οι απόπειρες exploitation εντοπίστηκαν από την Zero Day Initiative (ZDI) από την περασμένη εβδομάδα, αρχικά με επίκεντρο την Ανατολική Ευρώπη και εξαπλώθηκαν σε όλο τον κόσμο.

Δείτε επίσης: Η APT «Tomiris» χρησιμοποιεί Turla malware, μπερδεύοντας τους ερευνητές

Mirai malware

Έγινε exploit από το Mirai botnet

Η ευπάθεια CVE-2023-1389 είναι ένα σφάλμα υψηλής σοβαρότητας (CVSS v3: 8.8) μη εξουσιοδοτημένου command injection στο Locale API του web management interface του router TP-Link Archer AX21.

Η πηγή του προβλήματος είναι η έλλειψη input sanitization στο API της τοπικής γλώσσας που διαχειρίζεται τις γλωσσικές ρυθμίσεις του router, το οποίο δεν επικυρώνει ή φιλτράρει αυτά που λαμβάνει. Αυτό επιτρέπει σε απομακρυσμένους επιτιθέμενους να εισάγουν εντολές που θα έπρεπε να εκτελεστούν στη συσκευή.

Οι χάκερ μπορούν να εκμεταλλευτούν το ελάττωμα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο δρομολογητή που περιέχει ένα ωφέλιμο φορτίο εντολής ως μέρος της παραμέτρου “country”, ακολουθούμενο από ένα δεύτερο αίτημα που ενεργοποιεί την εκτέλεση της εντολής.

Τα πρώτα σημάδια exploitation έγιναν εμφανή στις 11 Απριλίου 2023 και η κακόβουλη δραστηριότητα εντοπίζεται πλέον σε παγκόσμιο επίπεδο.

Το ZDI αναφέρει ότι μια νέα έκδοση του botnet κακόβουλου λογισμικού Mirai εκμεταλλεύεται τώρα την ευπάθεια για να αποκτήσει πρόσβαση στη συσκευή, κατεβάζοντας το κατάλληλο binary payload για την αρχιτεκτονική του router, προκειμένου να τον στρατολογήσει στο botnet του.

Η συγκεκριμένη έκδοση του Mirai επικεντρώνεται στην εξαπόλυση επιθέσεων DDoS και τα χαρακτηριστικά του δείχνουν ότι εστιάζει κυρίως σε διακομιστές παιχνιδιών, έχοντας τη δυνατότητα να εξαπολύει επιθέσεις κατά της Valve Source Engine (VSE).

Μια άλλη ενδιαφέρουσα πτυχή αυτής της νέας έκδοσης κακόβουλου λογισμικού είναι ότι μπορεί να μιμηθεί τη νόμιμη κυκλοφορία δικτύου, καθιστώντας δυσκολότερο για τις λύσεις DDoS mitigation να διακρίνουν μεταξύ κακόβουλης και νόμιμης κυκλοφορίας και να απορρίπτουν αποτελεσματικά την ανεπιθύμητη κυκλοφορία.

Mirai

Δείτε επίσης: VirusTotal Code Insight: Νέο εργαλείο ανάλυσης malware που βασίζεται στο AI

Διόρθωση της TP-Link

Η TP-Link προσπάθησε για πρώτη φορά να αντιμετωπίσει το πρόβλημα στις 24 Φεβρουαρίου 2023, αλλά η διόρθωση ήταν ελλιπής και δεν απέτρεψε το exploitation.

Τέλος, ο κατασκευαστής δικτυακού εξοπλισμού δημοσίευσε μια ενημέρωση firmware που αντιμετώπισε τον κίνδυνο του CVE-2023-1389 στις 14 Μαρτίου 2023, με την έκδοση 1.1.4 Build 20230219.

Δείτε επίσης: Intel CPU είναι ευάλωτοι σε νέα επίθεση πλευρικού καναλιού

Οι κάτοχοι του router Archer AX21 AX1800 dual-band WiFi 6 μπορούν να κατεβάσουν την τελευταία ενημέρωση firmware για την έκδοση hardware της συσκευής τους από αυτήν την ιστοσελίδα.

Τα σημάδια ενός μολυσμένου router TP-Link περιλαμβάνουν υπερθέρμανση της συσκευής, αποσυνδέσεις από το διαδίκτυο, ανεξήγητες αλλαγές στις ρυθμίσεις δικτύου της συσκευής και επαναφορά των κωδικών πρόσβασης του διαχειριστή.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS