Dark Mirai Botnet retter seg mot TP-LINK TL-24840N-rutere

The Dark Mirai Botnet er en av mange varianter av Mirai Botnet, som har vært en trussel mot IoT-enheter de siste fem årene. Mens det opprinnelige prosjektet har vært dødt i lang tid, fortsetter den offentlig tilgjengelige kildekoden å bli brukt av skadevareoperatører. The Dark Mirai Botnet er bare ett av mange prosjekter som gjør dette.

Dette botnettet spesialiserer seg på distributed-denial-of-service (DDoS)-angrep, og det har nylig lagt til en ny utnyttelse til samlingen av angrepsteknikker. Denne spesielle sårbarheten påvirker en TP-LINK-ruter, som ble utgitt i 2017 – TL-WR840N EU V5. Sårbarheten er allerede rettet i den siste fastvareoppdateringen for maskinvaren, men dessverre kjører mange brukere fortsatt en utdatert versjon.

Sårbarheten, klassifisert som CVE-2021-41653, tillater ekstern kjøring av kode for autentiserte brukere. De kriminelle bruker det til å kjøre et bash-skript, som vil laste ned den endelige nyttelasten. I tillegg til dette gjør skriptet endringer i ruterens konfigurasjon for å blokkere spesifikke porter, og forhindrer derfor andre botnett fra å infisere den. Det er viktig å legge til at Dark Mirai Botnet bare kan ta over enheter som bruker standard påloggingsinformasjon – denne sårbarheten er ubrukelig uten administratorlegitimasjon.

Når implantatet kjører, kan de kriminelle kontrollere det eksternt, og beordre det til å utføre et DDoS-angrep. Det ser ut til at Dark Mirai Botnet ikke har noen annen bruk, og kriminelle bruker det utelukkende for å ta tjenester og nettsteder offline. Beskyttelse av enhetene dine mot Dark Mirai Botnet og lignende trusler kan gjøres ved å bruke den nyeste tilgjengelige fastvaren, og velge et sikkert passord for alle kontoer med eskalerte rettigheter.