11.12.2021 | Операторы ботнета Dark используют RCE-уязвимость в роутерах TP-Link |
Операторы ботнета Dark (также известного как MANGA) эксплуатируют уязвимость удаленного выполнения кода в популярном домашнем маршрутизаторе TP-Link TL-WR840N EU V5. Уязвимость (CVE-2021-41653) связана с переменной host, которую авторизованный злоумышленник может использовать для выполнения команд на устройстве. TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности. Исследователь в области безопасности Матек Камильо (Matek Kamillo), обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet , операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки. Эксплуатация проблемы позволяет злоумышленникам использовать уязвимые устройства для загрузки и выполнения вредоносного сценария tshit.sh, который загружает основные двоичные данные с помощью двух специальных запросов. Преступникам по-прежнему необходимо пройти аутентификацию для проведения атаки, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом. Операторы ботнета блокируют на зараженном устройстве подключения к часто используемым портам, чтобы другие ботнеты не смогли перехватить контроль. Затем вредоносная программа ожидает команды от командного центра для выполнения той или иной формы DoS-атаки. |
Проверить безопасность сайта