Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Операторы ботнета Dark используют RCE-уязвимость в роутерах TP-Link

10/12/21

tp-linkОператоры ботнета Dark (также известного как MANGA) эксплуатируют уязвимость удаленного выполнения кода в популярном домашнем маршрутизаторе TP-Link TL-WR840N EU V5.

Уязвимость (CVE-2021-41653) связана с переменной host, которую авторизованный злоумышленник может использовать для выполнения команд на устройстве. TP-Link исправила ошибку с выпуском обновления прошивки (TL-WR840N (EU) _V5_211109) 12 ноября 2021 года. Однако многие пользователи еще не применили обновление безопасности.

Исследователь в области безопасности Матек Камильо (Matek Kamillo), обнаруживший уязвимость, опубликовал PoC-код для эксплуатации RCE-уязвимости, в результате чего злоумышленники начали использовать ее в своих атаках. По словам экспертов из Fortinet, операторы Dark начали свои атаки всего через две недели после того, как TP-Link выпустила обновление прошивки.

Эксплуатация проблемы позволяет злоумышленникам использовать уязвимые устройства для загрузки и выполнения вредоносного сценария tshit.sh, который загружает основные двоичные данные с помощью двух специальных запросов.

Преступникам по-прежнему необходимо пройти аутентификацию для проведения атаки, но если пользователь оставил устройство с учетными данными по умолчанию, использование уязвимости становится тривиальным делом.

Операторы ботнета блокируют на зараженном устройстве подключения к часто используемым портам, чтобы другие ботнеты не смогли перехватить контроль. Затем вредоносная программа ожидает команды от командного центра для выполнения той или иной формы DoS-атаки.

Темы:УгрозыботнетTP-LinkFortinet
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...