安全厂商发现网络近日出现Mirai僵尸网络(botnet)病毒,正在锁定TP-Link一款无线路由器发动攻击。
趋势科技旗下的Zero Day Initiative安全研究室的遥感系统,4月中侦测到一个不知名的攻击者利用TP-Link Archer AX21无线路由器的漏洞部署Mirai僵尸网络病毒。 主要受害者位于东欧。 在成功植入Mirai后,就从Mirai的C&C服务器发出呼叫以下载更多二进制程序,然后通过暴力破解方式,寻找适合目标系统加入其僵尸网络。
这群黑客利用的是TP-Link Archer AX21上编号CVE-2023-1389的漏洞。 这项漏洞为存在Locale API上merge_country_config功能的指令注入漏洞,源自该功能对用户输入字符串验证不足,而执行攻击者发送带有写入指令的系统呼叫,造成在Root目录下的任意代码执行。 攻击者不需经过验证也能滥用这项漏洞。
本漏洞风险值为CVSS 3.1版的8.8,属重大漏洞。
CVE-2023-1389是去年12月于多伦多举行的Pwn2Own上首先展示,两间安全研究室包括Team Viettel及Tenable分别发现漏洞位于路由器的区域网络(LAN)接口,但另一家安全厂商Qrious Security则证实也可以由路由器的WAN接口滥用。 后者发现,可以local API指令注入手法,串联CVE-2023-1389和竞争条件(race condition)漏洞达成代码执行的目的。
ZDI于今年1月通报TP-Link,这家厂商已经在3月17日释出新版固件解决漏洞。 Bleeping Computer报导,遭感染的装置会出现网络过热、断线、网络设置莫名其妙改变,或是管理员密码重设等症状。
