【咎由自取】六大黑客集團瞄準TP-Link路由器已知漏洞 每日發動五萬次攻擊
至少有六個不同的殭屍網絡惡意軟件集團,正在試圖濫用 TP-Link Archer AX21 (AX1800) 路由器的一個已知漏洞,而根據網絡安全公司 Fortinet 的數據顯示,各路黑客平均每日都會嘗試利用這個漏洞發動約五萬次攻擊,所以用戶如果過了一年仍未修補這個漏洞,到發現被入侵時,就只能怨自己慢幾拍。
有好幾個網絡安全研究人員,在 2023 年 1 月發現了 TP-Link Archer AX21 路由器的網絡管理介面存在嚴重的零日漏洞,研究員指出黑客可以通過連接路由器的 API,在路由器上不經身分驗證而執行惡意編碼,從而達到控制路由器發動 DDoS 或竊取機密資料。舉報提交後,TP-Link 在 2023 年 3 月已推出修補檔去堵塞漏洞,而安全研究員亦在稍後將概念驗證公諸於世,以提升同業的安全水平。
在公布概念驗證後,研究員便發現有多個黑客組織針對這項漏洞發動攻擊,當中包括多個變種 Mirai,以及一個名為 Condi 的殭屍網絡等。而由今年三月開始,Fortinet 研究員發現針對這個漏洞發動的攻擊激增,由至少六個殭屍網絡集團發動的攻擊平均每日達四萬次,最高峰時更可達五萬次。這些殭屍網絡利用不同的方法,嘗試去控制仍存在漏洞的設備,並命令它們參與以下惡意活動。
AGoent:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,然後刪除文件以隱藏入侵痕跡。
Gafgyt 變種:通過下載惡意編碼執行 Linux 二進制文件,並維持與控制中心的連接,主要控制裝置發動 DDoS 攻擊。
Moobot:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,然後刪除文件以隱藏入侵痕跡。
Miori:利用 HTTP 和 TFTP 傳輸協定下載及執行 ELF 文件,並使用 hard-coded 在韌體中的帳戶憑證進行暴力破解。
Mirai 變種:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,這些文件會使用 UPX 壓縮,以避免被檢測的風險。
Condi:使用下載器來提高感染率,阻止設備重新啟動以維持持久性,如分析到目標並非實體裝置或含有特定防護措施,便會終止攻擊以避免被檢測。
從上述各大殭屍網絡的攻擊手法可見,黑客們會使用各種方法搶攻,令攔截攻擊變得非常困難。而 Fortinet 的報告顯示,其實最直接的方法便是立即安裝廠方於去年釋出的更新檔,不過偏偏仍有很多用戶還未採取行動,繼續使用過期韌體。另外,專家仍建議用戶應該修改默認管理員密碼及使用強密碼,如非必要,應禁止從外部訪問管理員介面。
