Dark Mirai Botnet retter sig mod TP-LINK TL-24840N routere

The Dark Mirai Botnet er en af de mange variationer af Mirai Botnet, som har været en trussel mod IoT-enheder i de sidste fem år. Mens det oprindelige projekt har været dødt i lang tid, bliver den offentligt tilgængelige kildekode fortsat brugt af malware-operatører. The Dark Mirai Botnet er blot et af mange projekter, der gør dette.

Dette botnet er specialiseret i distributed-denial-of-service (DDoS)-angreb, og det har for nylig tilføjet en ny udnyttelse til sin samling af angrebsteknikker. Denne særlige sårbarhed påvirker en TP-LINK-router, som blev frigivet i 2017 – TL-WR840N EU V5. Sårbarheden er allerede rettet i den seneste firmwareopdatering til hardwaren, men desværre kører mange brugere stadig en forældet version.

Sårbarheden, klassificeret som CVE-2021-41653, tillader fjernudførelse af kode for godkendte brugere. De kriminelle bruger det til at køre et bash-script, som ville downloade den endelige nyttelast. Ud over dette foretager scriptet ændringer i routerens konfiguration for at blokere specifikke porte og forhindrer derfor andre botnets i at inficere den. Det er vigtigt at tilføje, at Dark Mirai Botnet kun kan overtage enheder, der bruger standard login-legitimationsoplysningerne - denne sårbarhed er ubrugelig uden administratorlegitimationsoplysninger.

Når implantatet kører, kan de kriminelle fjernstyre det og beordre det til at udføre et DDoS-angreb. Det ser ud til, at Dark Mirai Botnet ikke har nogen anden brug, og de kriminelle bruger det udelukkende til at tage tjenester og websteder offline. Beskyttelse af dine enheder mod Dark Mirai Botnet og lignende trusler kan gøres ved at bruge den seneste tilgængelige firmware og vælge en sikker adgangskode til alle konti med eskalerede privilegier.