安全廠商Fortinet發現殭屍網路程式Dark(又稱MANGA )近日開採一款受歡迎的TP-Link家用無線路由器的遠端程式碼執行漏洞,以執行DDoS攻擊。

遭到開採的是TP-LINK TL-WR840N EU (V5)安全漏洞CVE-2021-41653,它出在韌體TL-WR840N(EU)_V5_171211版本以前,能讓遠端攻擊者修改主機IP參數值以便在路由器上執行程式碼,是一風險值9.8的重大漏洞。它是由外部研究人員Kamilló Matek發現通報,TP-Link於11月12日發布新版韌體以解決漏洞。

如果這款路由器用戶不知道要修補漏洞就可能曝險,因為Fortinet下的FortiGuard實驗室研究人員11月底發現,殭屍網路Dark正在開採未補漏洞的TP-Link TL-WR840N EU (V5)。Dark是以Mirai原始碼為基礎發展而來,因其binary檔名又被稱為Dark,也因使用的SSH/telnet指令內含的令牌字串而被稱為MANGA。

一如Mirai,Fortinet研究人員發現Dark開採TP-Link路由器的CVE-2021-41653以下載及執行惡意腳本程式tshit.sh,再下載主要惡意binary。這些binary一來可封鎖其他殭屍網路染指,且長駐在受害裝置內等待外部C&C伺服器,以便執行各種阻斷服務(Denial of Service,DoS)攻擊。研究人員也公布了這次攻擊的入侵指標(indication of compromise,IoC)。

一如大部份網路產品防護,最有效防護方式是儘速安裝更新版韌體


熱門新聞

Advertisement