安全廠商發現網路近日出現Mirai殭屍網路(botnet)病毒,正在鎖定TP-Link一款無線路由器發動攻擊。
趨勢科技旗下的Zero Day Initiative安全研究室的遙感系統,4月中偵測到一個不知名的攻擊者利用TP-Link Archer AX21無線路由器的漏洞部署Mirai殭屍網路病毒。主要受害者位於東歐。在成功植入Mirai後,就從Mirai的C&C伺服器發出呼叫以下載更多二進位程式,然後透過暴力破解方式,尋找適合目標系統加入其殭屍網路。
這群駭客利用的是TP-Link Archer AX21上編號CVE-2023-1389的漏洞。這項漏洞為存在Locale API上merge_country_config功能的指令注入漏洞,源自該功能對用戶輸入字串驗證不足,而執行攻擊者發送帶有寫入指令的系統呼叫,造成在Root目錄下的任意程式碼執行。攻擊者不需經過驗證也能濫用這項漏洞。
本漏洞風險值為CVSS 3.1版的8.8,屬重大漏洞。
CVE-2023-1389是去年12月於多倫多舉行的Pwn2Own上首先展示,兩間安全研究室包括Team Viettel及Tenable分別發現漏洞位於路由器的區域網路(LAN)介面,但另一家安全廠商Qrious Security則證實也可以由路由器的WAN介面濫用。後者發現,可以local API指令注入手法,串聯CVE-2023-1389和競爭條件(race condition)漏洞達成程式碼執行的目的。
ZDI於今年1月通報TP-Link,這家廠商已經在3月17日釋出新版韌體解決漏洞。Bleeping Computer報導,遭感染的裝置會出現網路過熱、斷線、網路設定莫名其妙改變,或是管理員密碼重設等癥狀。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02