TP-Link Archer一款無線路由器遭新Mirai病毒鎖定

安全廠商發現網路近日出現Mirai殭屍網路（botnet）病毒，正在鎖定TP-Link一款無線路由器發動攻擊。

趨勢科技旗下的Zero Day Initiative安全研究室的遙感系統，4月中偵測到一個不知名的攻擊者利用TP-Link Archer AX21無線路由器的漏洞部署Mirai殭屍網路病毒。主要受害者位於東歐。在成功植入Mirai後，就從Mirai的C&C伺服器發出呼叫以下載更多二進位程式，然後透過暴力破解方式，尋找適合目標系統加入其殭屍網路。

這群駭客利用的是TP-Link Archer AX21上編號CVE-2023-1389的漏洞。這項漏洞為存在Locale API上merge_country_config功能的指令注入漏洞，源自該功能對用戶輸入字串驗證不足，而執行攻擊者發送帶有寫入指令的系統呼叫，造成在Root目錄下的任意程式碼執行。攻擊者不需經過驗證也能濫用這項漏洞。

本漏洞風險值為CVSS 3.1版的8.8，屬重大漏洞。

CVE-2023-1389是去年12月於多倫多舉行的Pwn2Own上首先展示，兩間安全研究室包括Team Viettel及Tenable分別發現漏洞位於路由器的區域網路（LAN）介面，但另一家安全廠商Qrious Security則證實也可以由路由器的WAN介面濫用。後者發現，可以local API指令注入手法，串聯CVE-2023-1389和競爭條件（race condition）漏洞達成程式碼執行的目的。

ZDI於今年1月通報TP-Link，這家廠商已經在3月17日釋出新版韌體解決漏洞。Bleeping Computer報導，遭感染的裝置會出現網路過熱、斷線、網路設定莫名其妙改變，或是管理員密碼重設等癥狀。