Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Операторы ботнета Dark используют RCE-уязвимость в роутерах TP-Link

10/12/21

tp-linkОператоры ботнета Dark (также известного как MANGA) эксплуатируют уязвимость удаленного выполнения кода в популярном домашнем маршрутизаторе TP-Link TL-WR840N EU V5.

Уязвимость (CVE-2021-41653) связана с переменной host, которую авторизованный злоумышленник может использовать для выполнения команд на устройстве. TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности.

Исследователь в области безопасности Матек Камильо (Matek Kamillo), обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet, операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки.

Эксплуатация проблемы позволяет злоумышленникам использовать уязвимые устройства для загрузки и выполнения вредоносного сценария tshit.sh, который загружает основные двоичные данные с помощью двух специальных запросов.

Преступникам по-прежнему необходимо пройти аутентификацию для проведения атаки, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом.

Операторы ботнета блокируют на зараженном устройстве подключения к часто используемым портам, чтобы другие ботнеты не смогли перехватить контроль. Затем вредоносная программа ожидает команды от командного центра для выполнения той или иной формы DoS-атаки.

Темы:УгрозыботнетTP-LinkFortinet
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...