Dark Mirai Botnet skirtas TP-LINK TL-24840N maršrutizatoriams

„Dark Mirai Botnet“ yra vienas iš daugelio „Mirai Botnet“ variantų, kuris pastaruosius penkerius metus kėlė grėsmę daiktų interneto įrenginiams. Nors pradinis projektas jau seniai miręs, viešai prieinamą šaltinio kodą ir toliau naudoja kenkėjiškų programų operatoriai. „Dark Mirai Botnet“ yra tik vienas iš daugelio tai įgyvendinančių projektų.

Šis robotų tinklas specializuojasi paskirstytų paslaugų atsisakymo (DDoS) atakose ir neseniai į savo atakų metodų rinkinį įtraukė naują išnaudojimą. Šis pažeidžiamumas paveikia TP-LINK maršruto parinktuvą, kuris buvo išleistas 2017 m. – TL-WR840N EU V5. Pažeidžiamumas jau pataisytas naujausiame aparatinės įrangos atnaujinime, bet, deja, daugelis vartotojų vis dar naudoja pasenusią versiją.

Pažeidžiamumas, klasifikuojamas kaip CVE-2021-41653, leidžia nuotoliniu būdu vykdyti kodą autentifikuotiems vartotojams. Nusikaltėliai jį naudoja norėdami paleisti „bash“ scenarijų, kuris atsisiųstų galutinę naudingąją apkrovą. Be to, scenarijus modifikuoja maršrutizatoriaus konfigūraciją, kad blokuotų konkrečius prievadus, taip užkertant kelią kitiems robotų tinklams jo užkrėsti. Svarbu pridurti, kad „Dark Mirai Botnet“ gali perimti tik įrenginius, kurie naudoja numatytuosius prisijungimo duomenis – šis pažeidžiamumas yra netinkamas naudoti be administratoriaus kredencialų.

Kai implantas veikia, nusikaltėliai gali jį valdyti nuotoliniu būdu, liepdami vykdyti DDoS ataką. Panašu, kad „Dark Mirai Botnet“ neturi jokios kitos paskirties, o nusikaltėliai jį naudoja tik norėdami išjungti paslaugas ir svetaines. Apsaugoti savo įrenginius nuo „Dark Mirai Botnet“ ir panašių grėsmių galima naudojant naujausią turimą programinę-aparatinę įrangą ir pasirenkant saugų slaptažodį visoms paskyroms su padidintomis privilegijomis.