Lỗ hổng bộ định tuyến WiFi TP-Link Archer bị khai thác bởi phần mềm độc hại Mirai

Mạng botnet phần mềm độc hại Mirai đang tích cực khai thác lỗ hổng bộ định tuyến WiFi TP-Link Archer A21 (AX1800) được theo dõi là CVE-2023-1389 để kết hợp các thiết bị vào bầy DDoS (từ chối dịch vụ phân tán).

Các nhà nghiên cứu lần đầu tiên khai thác lỗ hổng trong  sự kiện hack Pwn2Own Toronto  vào tháng 12 năm 2022, trong đó hai nhóm hack riêng biệt đã xâm phạm thiết bị bằng các đường dẫn khác nhau ( truy cập giao diện LAN  và  WAN  ).

Lỗ hổng đã  được tiết lộ cho TP-Link  vào tháng 1 năm 2023, TP-Link  đã phát hành bản sửa lỗi  vào tháng trước trong bản cập nhật chương trình cơ sở mới.

Các nỗ lực khai thác trong tự nhiên đã được phát hiện bởi  Zero Day Initiative  (ZDI) bắt đầu từ tuần trước, ban đầu tập trung vào Đông Âu và lan rộng ra toàn thế giới.

Bị khai thác bởi botnet Mirai

Lỗ hổng CVE-2023-1389 là một lỗ hổng chèn lệnh không được xác thực có mức độ nghiêm trọng cao (CVSS v3: 8.8) trong API ngôn ngữ của giao diện quản lý web của bộ định tuyến TP-Link Archer AX21.

Nguyên nhân của vấn đề là do thiếu khả năng khử trùng đầu vào trong API ngôn ngữ quản lý cài đặt ngôn ngữ của bộ định tuyến, API này không xác thực hoặc lọc những gì nó nhận được. Điều này cho phép những kẻ tấn công từ xa thực hiện các lệnh cần được thực thi trên thiết bị.

Tin tặc có thể khai thác lỗ hổng bằng cách gửi một yêu cầu được chế tạo đặc biệt tới bộ định tuyến có chứa trọng tải lệnh như một phần của tham số quốc gia, theo sau là yêu cầu thứ hai kích hoạt việc thực thi lệnh.

Những dấu hiệu đầu tiên của việc khai thác tự nhiên trở nên rõ ràng vào ngày 11 tháng 4 năm 2023 và hoạt động độc hại hiện đã được phát hiện trên toàn cầu.

Yêu cầu POST độc hại 

ZDI báo cáo rằng một phiên bản mới của mạng botnet phần mềm độc hại Mirai hiện đang khai thác lỗ hổng để giành quyền truy cập vào thiết bị. Sau đó, nó tải xuống tải trọng nhị phân thích hợp cho kiến ​​trúc của bộ định tuyến để tuyển dụng thiết bị vào mạng botnet của nó.

Phiên bản cụ thể của Mirai tập trung vào việc khởi động các cuộc tấn công DDoS và các tính năng của nó cho thấy rằng nó tập trung chủ yếu vào các máy chủ trò chơi, có khả năng khởi động các cuộc tấn công chống lại Valve Source Engine (VSE).

Chức năng tấn công truy vấn TSource Engine

Một khía cạnh thú vị khác của phiên bản phần mềm độc hại mới này là nó có thể bắt chước lưu lượng mạng hợp pháp, khiến các giải pháp giảm thiểu DDoS khó phân biệt giữa lưu lượng độc hại và hợp pháp để từ chối lưu lượng rác một cách hiệu quả.

Trộn lưu lượng xuất hiện hợp pháp với các yêu cầu rác 

TP-Link đã cố gắng khắc phục sự cố lần đầu tiên vào ngày 24 tháng 2 năm 2023, nhưng bản sửa lỗi chưa hoàn thiện và không ngăn được hành vi khai thác.

Cuối cùng, nhà sản xuất thiết bị mạng đã xuất bản bản cập nhật chương trình cơ sở giải quyết rủi ro CVE-2023-1389 vào ngày 14 tháng 3 năm 2023, với phiên bản 1.1.4 Build 20230219.

Chủ sở hữu bộ định tuyến WiFi 6 băng tần kép Archer AX21 AX1800 có thể tải xuống bản cập nhật chương trình cơ sở mới nhất cho phiên bản phần cứng của thiết bị của họ từ trang web này .

Các dấu hiệu của bộ định tuyến TP-Link bị nhiễm bao gồm thiết bị quá nóng, ngắt kết nối internet, những thay đổi không thể giải thích được trên cài đặt mạng của thiết bị và đặt lại mật khẩu người dùng quản trị.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.