Mirai kötü amaçlı yazılım botnet’i, cihazları DDoS (dağıtılmış hizmet reddi) sürülerine dahil etmek için CVE-2023-1389 olarak izlenen bir TP-Link Archer A21 (AX1800) WiFi yönlendirici güvenlik açığından aktif olarak yararlanıyor.
Araştırmacılar, kusuru ilk olarak Aralık 2022’de iki ayrı bilgisayar korsanlığı ekibinin farklı yollar (LAN ve WAN arayüzü erişimi) kullanarak cihazı ihlal ettiği Pwn2Own Toronto bilgisayar korsanlığı etkinliği sırasında kötüye kullandı.
Kusur, Ocak 2023’te TP-Link’e açıklandı ve TP-Link, geçen ay yeni bir ürün yazılımı güncellemesiyle bir düzeltme yayınladı.
Vahşi doğada sömürü girişimleri, geçen hafta başlayarak Doğu Avrupa’ya odaklanan ve dünya çapında yayılan Zero Day Initiative (ZDI) tarafından tespit edildi.
Mirai botnet tarafından istismar edildi
CVE-2023-1389 güvenlik açığı, TP-Link Archer AX21 yönlendiricisinin web yönetim arayüzünün yerel API’sinde yüksek önem dereceli (CVSS v3: 8.8) kimliği doğrulanmamış bir komut enjeksiyon hatasıdır.
Sorunun kaynağı, yönlendiricinin dil ayarlarını yöneten ve aldıklarını doğrulamayan veya filtrelemeyen yerel ayar API’sinde giriş temizleme eksikliğidir. Bu, uzaktaki saldırganların cihazda yürütülmesi gereken komutları enjekte etmesine olanak tanır.
Bilgisayar korsanları, ülke parametresinin bir parçası olarak bir komut yükü içeren yönlendiriciye özel hazırlanmış bir istek göndererek ve ardından komutun yürütülmesini tetikleyen ikinci bir istek göndererek kusurdan yararlanabilir.
Vahşi istismarın ilk işaretleri 11 Nisan 2023’te ortaya çıktı ve kötü amaçlı etkinlik artık küresel olarak tespit ediliyor.
ZDI, Mirai kötü amaçlı yazılım botnet’inin yeni bir sürümünün artık cihaza erişim sağlamak için bu güvenlik açığından yararlandığını bildiriyor. Ardından, yönlendirici mimarisinin cihazı botnet’ine dahil etmesi için uygun ikili yükü indirir.
Mirai’nin belirli sürümü, DDoS saldırıları başlatmaya odaklanmıştır ve özellikleri, Valve Source Engine’e (VSE) karşı saldırı başlatma yeteneğine sahip olarak, öncelikle oyun sunucularına odaklandığını göstermektedir.
Bu yeni kötü amaçlı yazılım sürümünün bir başka ilginç yönü de, yasal ağ trafiğini taklit edebilmesi ve DDoS azaltma çözümlerinin çöp trafiğini etkili bir şekilde reddetmek için kötü amaçlı ve yasal trafik arasında ayrım yapmasını zorlaştırmasıdır.
TP-Link düzeltmesi
TP-Link, sorunu ilk olarak 24 Şubat 2023’te çözmeye çalıştı ancak düzeltme eksikti ve istismarı engellemedi.
Son olarak ağ ekipmanı üreticisi, 14 Mart 2023’te 1.1.4 Yapı 20230219 sürümüyle CVE-2023-1389 riskini ele alan bir ürün yazılımı güncellemesi yayınladı.
Archer AX21 AX1800 çift bant WiFi 6 yönlendiricisinin sahipleri, bu web sayfasından cihazlarının donanım sürümü için en son üretici yazılımı güncellemesini indirebilir.
Virüs bulaşmış bir TP-Link yönlendiricisinin belirtileri, cihazın aşırı ısınmasını, internet bağlantılarının kesilmesini, cihazın ağ ayarlarında açıklanamayan değişiklikleri ve yönetici kullanıcı parolalarının sıfırlanmasını içerir.