+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новости

Fortinet: Операторы ботнета Dark эксплуатируют уязвимость удаленного выполнения кода в маршрутизаторе TP-Link

Fortinet: Операторы ботнета Dark эксплуатируют уязвимость удаленного выполнения кода в маршрутизаторе TP-Link

Операторы ботнета Dark эксплуатируют уязвимость удаленного выполнения кода в популярном маршрутизаторе TP-Link TL-WR840N EU V5.

Уязвимость (CVE-2021-41653) связана с переменной host, которую авторизованный злоумышленник может использовать для выполнения команд на устройстве. TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности.

Исследователь в области безопасности, обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet , операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки.

Эксплуатация проблемы позволяет злоумышленникам использовать уязвимые устройства для загрузки и выполнения вредоносного сценария tshit.sh, который загружает основные двоичные данные с помощью двух специальных запросов.

Преступникам по-прежнему необходимо пройти аутентификацию для проведения атаки, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом.

Операторы ботнета блокируют на зараженном устройстве подключения к часто используемым портам, чтобы другие ботнеты не смогли перехватить контроль. Затем вредоносная программа ожидает команды от командного центра для выполнения той или иной формы DoS-атаки.

Другие новости