Legalább hat különböző botnet malware vadászik a TP-Link Archer AX21 (AX1800) routerekre, amelyek sebezhetőek egy tavaly bejelentett és orvosolt parancsinjekciós biztonsági hibával.
A CVE-2023-1389 néven nyomon követett hiba egy nagy súlyú, hitelesítés nélküli parancsinjekciós probléma a TP-Link Archer AX21 webes kezelőfelületén keresztül elérhető API-ban.
Először 2023 januárjában fedezték fel és jelentették a gyártónak. A TP-Link 2023 márciusában firmware biztonsági frissítések kiadásával orvosolta a problémát. A PoC exploitot nem sokkal később publikálták.
Most a Fortinet újabb figyelmeztetést adott ki, amelyben közölte, hogy a sebezhetőséget kihasználó rosszindulatú tevékenység megugrását figyelte meg. Hozzátette, hogy az hat botnet műveletből származik. A telemetriai adataik azt mutatják, hogy 2024 márciusától kezdődően a CVE-2023-1389-et kihasználó napi fertőzési kísérletek száma volt, hogy elérte az 50 ezret. Olyan botneteket emeltek ki, mint a Moobot, a Miori, a Golang-alapú „AGoent” és a Gafgyt variáns.
E botnetek mindegyike különböző módszereket és szkripteket használ a sebezhetőség kihasználására, és a veszélyeztetett eszközök feletti irányítás megszerzésére.
(forrás: Fortinet)
A Fortinet jelentése szerint annak ellenére, hogy a gyártó tavaly biztonsági frissítést adott ki, a felhasználók jelentős része továbbra is elavult firmware-t használ.
A TP-Link Archer AX21 (AX1800) router felhasználóinak azt tanácsolják, hogy kövessék a gyártó firmware frissítési utasításait, amelyek itt érhetőek el. Az alapértelmezett admin jelszavakat is érdemes egyedi és hosszú jelszóra változtatniuk, és ha nincs szükségük rá, tiltsák le az admin panelhez való webes hozzáférést. Intézetünk biztonságos jelszókezelésről szóló kiadványa itt érhető el.
