Cel puțin șase operațiuni malware distincte de botneturi vânează routerele TP-Link Archer AX21 (AX1800) vulnerabile la o problemă de securitate de injectare a comenzilor raportată și rezolvată anul trecut.
Urmărită ca CVE-2023-1389, vulnerabilitatea este o problemă de injectare a comenzilor neautentificată de severitate mare în API-ul local accesibil prin intermediul interfeței de management web TP-Link Archer AX21.
Mai mulți cercetători au descoperit-o în ianuarie 2023 și au raportat-o furnizorului prin intermediul Zero-Day Initiative (ZDI). TP-Link a rezolvat problema odată cu lansarea actualizărilor de securitate ale firmware-ului în martie 2023. Codul de exploatare a conceptului de dovadă a apărut scurt timp după ce a devenit publică avertismentele de securitate.
În urma acesteia, echipele de securitate cibernetică au avertizat cu privire la mai multe botneturi, inclusiv trei variante Mirai (1, 2, 3) și un botnet numit „Condi”, care au vizat dispozitive nepatch-ate.
Ieri, Fortinet a emis un alt avertisment spunând că a observat o creștere a activității malitioase care exploatează vulnerabilitatea, remarcând că aceasta a avut originea în șase operațiuni de botnet.
Datele de telemetrie ale Fortinet arată că, începând din martie 2024, încercările zilnice de infectare care folosesc CVE-2023-1389 au depășit adesea 40.000 și până la 50.000.
Fiecare dintre aceste botneturi utilizează diferite metode și scripturi pentru a exploata vulnerabilitatea, a stabili controlul asupra dispozitivelor compromise și a le comanda să participe la activități malitioase precum atacurile de serviciu de denegare distribuită (DDoS).
Raportul Fortinet indică faptul că, în ciuda lansării unei actualizări de securitate de către furnizor anul trecut, un număr semnificativ de utilizatori continuă să folosească firmware-ul depășit.
Utilizatorii routerului TP-Link Archer AX21 (AX1800) sunt sfătuiți să urmeze instrucțiunile de actualizare a firmware-ului furnizate de producător, disponibile aici. De asemenea, ar trebui să-și schimbe parolele de administrație implicite cu altele unice și lungi, și să dezactiveze accesul web la panoul de administrare dacă nu este necesar.
Malware-ul TheMoon infectează 6.000 de routere ASUS în 72 de ore pentru serviciul de proxy
Microsoft rezolvă două zero-day-uri Windows exploatate în atacuri malware
Hackerii RUBYCARP sunt legați de un botnet de cryptomining de 10 ani
Cisco avertizează cu privire la atacuri de stropire a parolelor care vizează serviciile VPN
CISA își face sistemul de analiză „Malware Next-Gen” disponibil public
Leave a Reply