安全厂商Fortinet发现僵尸网络程序Dark(又称MANGA)近日开采一款受欢迎的TP-Link家用无线路由器的远程程序代码执行漏洞,以执行DDoS攻击。
遭到开采的是TP-LINK TL-WR840N EU (V5)安全漏洞CVE-2021-41653,它出在固件TL-WR840N(EU)_V5_171211版本以前,能让远程攻击者修改主机IP参数值以便在路由器上执行程序代码,是一风险值9.8的重大漏洞。它是由外部研究人员KamillóMatek发现通报,TP-Link于11月12日发布新版固件以解决漏洞。
如果这款路由器用户不知道要修补漏洞就可能曝险,因为Fortinet下的FortiGuard实验室研究人员11月底发现,僵尸网络Dark正在开采未补漏洞的TP-Link TL-WR840N EU (V5)。Dark是以Mirai源码为基础发展而来,因其binary文件名又被称为Dark,也因使用的SSH/telnet指令内置的令牌字符串而被称为MANGA。
一如Mirai,Fortinet研究人员发现Dark开采TP-Link路由器的CVE-2021-41653以下载及执行恶意脚本程序tshit.sh,再下载主要恶意binary。这些binary一来可封锁其他僵尸网络染指,且长驻在受害设备内等待外部C&C服务器,以便执行各种拒绝服务(Denial of Service,DoS)攻击。研究人员也公布了这次攻击的入侵指标(indication of compromise,IoC)。
一如大部分网络产品防护,最有效防护方式是尽快安装更新版固件。