Fortinet: Оператори темного ботнету використовують вразливість віддаленого виконання коду в маршрутизаторі TP-Link

Оператори темного ботнету використовують вразливість віддаленого виконання коду в популярному роутері TP-Link TL-WR840N EU V5.

Вразливість (CVE-2021-41653) пов'язана зі змінною хоста, яку авторизований зловмисник може використовувати для виконання команд на пристрої. TP-Link виправив проблему з випуском оновлення прошивки (TL-WR840N (EU) _V5_211109) 12 листопада 2021 року. Однак багато клієнтів ще не застосували оновлення системи безпеки.

Дослідник безпеки, який виявив вразливість, опублікував код PoC для використання вразливості RCE, змусивши зловмисників використовувати її в своїх атаках. За словами експертів з Fortinet , темні оператори почали свої атаки всього через два тижні після того, як TP-Link випустила оновлення прошивки.

Використання цієї проблеми може дозволити зловмисникам використовувати вразливі пристрої для завантаження та виконання шкідливого сценарію tshit.sh, який завантажує базові двійкові дані за допомогою двох спеціально створених запитів.

Для здійснення атаки злочинців все ще потрібно пройти автентифікацію, але якщо користувач залишив пристрій з обліковими даними за замовчуванням, використання вразливості стає тривіальним.

Оператори ботнету блокують підключення до часто використовуваних портів на зараженому пристрої, щоб інші ботнети не могли захопити контроль. Потім зловмисне програмне забезпечення чекає команд від командного центру для виконання певної форми DoS-атаки.