Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Операторы ботнета Dark используют RCE-уязвимость в роутерах TP-Link

10/12/21

tp-linkОператоры ботнета Dark (также известного как MANGA) эксплуатируют уязвимость удаленного выполнения кода в популярном домашнем маршрутизаторе TP-Link TL-WR840N EU V5.

Уязвимость (CVE-2021-41653) связана с переменной host, которую авторизованный злоумышленник может использовать для выполнения команд на устройстве. TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности.

Исследователь в области безопасности Матек Камильо (Matek Kamillo), обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet, операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки.

Эксплуатация проблемы позволяет злоумышленникам использовать уязвимые устройства для загрузки и выполнения вредоносного сценария tshit.sh, который загружает основные двоичные данные с помощью двух специальных запросов.

Преступникам по-прежнему необходимо пройти аутентификацию для проведения атаки, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом.

Операторы ботнета блокируют на зараженном устройстве подключения к часто используемым портам, чтобы другие ботнеты не смогли перехватить контроль. Затем вредоносная программа ожидает команды от командного центра для выполнения той или иной формы DoS-атаки.

Темы:УгрозыботнетTP-LinkFortinet
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...