Mirai kötü amaçlı yazılım botnet, CVE-2023-1389 olarak izlenen bir TP-Link Archer A21 (AX1800) WiFi yönlendirici güvenlik açığı, cihazları DDOS (dağıtılmış hizmet reddi) sürülerine dahil etmek için aktif olarak kullanıyor.
Araştırmacılar, Aralık 2022'de PWN2OWN Toronto Hacking etkinliği sırasında kusuru kötüye kullandılar, burada iki ayrı hack ekibinin cihazı farklı yollar (LAN ve WAN arayüzü erişimi) kullanarak ihlal ettiler.
Kusur Ocak 2023'te TP-Link'e açıklandı ve TP-Link geçen ay yeni bir ürün yazılımı güncellemesinde bir düzeltme yayınladı.
Vahşi doğada sömürü girişimleri, geçen hafta başlayan, başlangıçta Doğu Avrupa'ya odaklanarak ve dünya çapında yayılan Sıfır Gün Girişimi (ZDI) tarafından tespit edildi.
CVE-2023-1389 Güvenlik Açığı, TP-Link Archer Ax21 yönlendiricisinin Web Yönetimi Arabiriminin Yerel Ayar API'sında Yüksek Seyirlik (CVSS V3: 8.8) Yasalaşmamış Komut Enjeksiyon Kusurdur.
Sorunun kaynağı, yönlendiricinin dil ayarlarını yöneten ve aldığını doğrulamayan veya filtrelemeyen yerel ayar API'sinde giriş sterilizasyon eksikliğidir. Bu, uzak saldırganların cihazda yürütülmesi gereken komutları enjekte etmelerini sağlar.
Bilgisayar korsanları, Ülke parametresinin bir parçası olarak komut yükü içeren yönlendiriciye özel olarak hazırlanmış bir istek göndererek kusurdan yararlanabilir ve ardından komutun yürütülmesini tetikleyen ikinci bir istek.
Serbest sömürünün ilk belirtileri 11 Nisan 2023'te belirginleşti ve kötü niyetli etkinlik artık küresel olarak tespit ediliyor.
ZDI, Mirai kötü amaçlı yazılım botnet'in yeni bir versiyonunun artık cihaza erişmek için güvenlik açığından yararlandığını bildiriyor. Daha sonra, cihazı botnet'e alması için yönlendiricinin mimarisinin uygun ikili yükü indirir.
Mirai'nin özel versiyonu DDOS saldırılarını başlatmaya odaklanmıştır ve özellikleri, Valve Kaynak Motoruna (VSE) karşı saldırılar başlatma yeteneğine sahip olarak öncelikle oyun sunucularına odaklandığını göstermektedir.
Bu yeni kötü amaçlı yazılım sürümünün bir başka ilginç yönü, meşru ağ trafiğini taklit edebilmesi ve DDOS azaltma çözümlerinin çöp trafiğini etkili bir şekilde reddetmek için kötü niyetli ve meşru trafik arasında ayrım yapmasını zorlaştırmasıdır.
TP-Link ilk olarak 24 Şubat 2023'te sorunu ele almaya çalıştı, ancak düzeltme eksikti ve sömürü önlemedi.
Archer AX21 AX1800 Çift Bantlı WiFi 6 yönlendirici, cihazlarının donanım sürümü için en son ürün yazılımı güncellemesini bu web sayfasından indirebilir.
Enfekte bir TP-bağlantılı yönlendiricinin belirtileri arasında cihaz aşırı ısınma, internet bağlantıları, cihazın ağ ayarlarında açıklanamayan değişiklikler ve yönetici kullanıcı şifrelerinin sıfırlanmasını içerir.
Yeni 'Hinatabot' Botnet, büyük 3.3 Tbps DDOS saldırıları başlatabilir
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
US, İngiltere, Cisco yönlendiricilerinde özel kötü amaçlı yazılım kullanarak Govt Hacker'ları uyarıyor
1M yüklemeli Kyocera Android uygulaması, kötü amaçlı yazılımları bırakmak için istismar edilebilir
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Kaynak: Bleeping Computer