Уязвимость Wi-Fi-маршрутизатора TP-Link Archer, используемая вредоносной программой Mirai

Вредоносный ботнет Mirai активно использует уязвимость Wi-Fi-маршрутизатора TP-Link Archer A21 (AX1800), отслеживаемую как CVE-2023-1389, для включения устройств в рои DDoS (распределенный отказ в обслуживании).

Исследователи впервые воспользовались этим недостатком во время хакерского мероприятия Pwn2Own в Торонто в декабре 2022 года, когда две отдельные хакерские команды взломали устройство, используя разные пути (доступ к интерфейсу локальной сети и WAN).

Об этой ошибке стало известно TP-Link в январе 2023 года, а в прошлом месяце TP-Link выпустила исправление в новом обновлении прошивки.

Попытки эксплуатации в сети были обнаружены инициативой "Нулевой день" (ZDI), активная стадия началась на прошлой неделе, первоначально сосредоточившись на Восточной Европе и распространившись по всему миру.

Эксплуатируется ботнетом Mirai

Уязвимость CVE-2023-1389 представляет собой уязвимость с высокой степенью серьезности (CVSS v3: 8.8) при внедрении неаутентифицированных команд в locale API веб-интерфейса управления маршрутизатором TP-Link Archer AX21.

Источником проблемы является отсутствие очистки входных данных в locale API, который управляет языковыми настройками маршрутизатора, который не проверяет и не фильтрует то, что он получает. Это позволяет удаленным злоумышленникам вводить команды, которые должны выполняться на устройстве.

Хакеры могут воспользоваться этой уязвимостью, отправив маршрутизатору специально созданный запрос, содержащий полезную нагрузку команды как часть параметра country, за которым следует второй запрос, запускающий выполнение команды.

Первые признаки эксплуатации в сети стали очевидны 11 апреля 2023 года, и теперь вредоносная активность обнаруживается по всему миру.

Вредоносный POST запрос (ZDI)

ZDI сообщает, что новая версия вредоносного ботнета Mirai теперь использует уязвимость для получения доступа к устройству. Затем он загружает соответствующую двоичную полезную нагрузку для архитектуры маршрутизатора, чтобы подключить устройство к своей ботнету.

Конкретная версия Mirai ориентирована на запуск DDoS-атак, и ее особенности указывают на то, что она ориентирована в первую очередь на игровые серверы, имея возможность запускать атаки против Valve Source Engine (VSE).

Функциональность атаки на запросы движка TSource Engine (ZDI)

Еще одним интересным аспектом этой новой версии вредоносного ПО является то, что оно может имитировать легальный сетевой трафик, что затрудняет для решений по предотвращению DDoS-атак различение вредоносного и легального трафика для эффективного отклонения мусорного трафика.

Смешивание законно отображаемого трафика с мусорными запросами (ZDI)

Исправление TP-Link

TP-Link впервые попыталась устранить проблему 24 февраля 2023 года, но исправление было неполным и не предотвратило эксплуатацию.

Наконец, 14 марта 2023 года производитель сетевого оборудования опубликовал обновление встроенного ПО, устраняющее риск CVE-2023-1389, с версией 1.1.4 Build 20230219.

Владельцы двухдиапазонного маршрутизатора Wi-Fi 6 Archer AX21 AX1800 могут загрузить последнее обновление прошивки для аппаратной версии своего устройства с этой веб-страницы.

Признаки зараженного маршрутизатора TP-Link включают перегрев устройства, отключения от Интернета, необъяснимые изменения сетевых настроек устройства и сброс паролей администратора.

25.04.2023
https://www.bleepingcomputer.com/ne...-wifi-router-flaw-exploited-by-mirai-malware/​

 

Живучий ботнет, однако
С 2016 года гуляет, развивается...