【有機可乘】TP-Link Wi-Fi 6路由器失守 DDos黑客集團鬥快插旗
TP-Link 路由器失守!專門出租 DDoS 殭屍網絡的集團 Condi,上月開發出一個惡意軟件,利用 TP-Link Archer AX21 Wi-Fi 6 無線路由器的漏洞,將設備變成殭屍網絡。由於這款 Wi-Fi 6 無線路由器主打家庭用家及小企業,相信受影響的用家非常多,亦再一次顯示犯罪集團持續擴大殭屍大軍的決心。
DDoS 攻擊的破壞力及阻截難度有多大,經過月初 Microsoft 雲端服務陷入癱瘓事件已可略知一二。雖然現時黑客已掌握到放大(amplifiy)數據封包的技術,但攻擊的成功率仍與控制的殭屍大軍數量有很大關係,因此黑客並不會放過任何機會,甚至會與同行鬥快插旗,肆意攻擊所有存在漏洞的設備。
漏洞於今年一月發現 大批用家未更新
根據網絡安全公司 Fortinet 發表的研究報告中可見,全球第二大 DDoS 服務供應商 Condi 黑客集團由今年 5 月開始,利用 TP-Link Archer AX21 網上控制介面存在的 CVE-2023-1389 漏洞,遙距執行惡意程序以控制無線路由器。相關的攻擊服務已在 Condi 的 Condistore 網站上出售,所以研究員認為有心人不難取得這個攻擊的程式碼,用家的被入侵風險正在每日俱增。
這個漏洞其實在今年一月由零日漏洞懸賞計劃 ZDI 發現,研究員已將漏洞詳情向 TP-Link 舉報,生產商亦已在今年 3 月推出安全修補檔案,但從網絡掃描可見,依然有不少用家仍未安裝更新檔,變相讓黑客有機可乘。
黑客集團爭相發動攻擊
事實上,另一 DDoS 集團 Mirai 已搶先利用漏洞發動攻擊,但 Condi 的攻擊就會將設備內已存的 Mirai 殺死,獨佔設備的操控權,而由於 Condi 沒有持久啟動手段,設計者為了阻止設備關閉或重新啟動,因此會將設備內的特定文件刪除,並利用開放端口 80 或 8080 發送惡意編碼並執行 TCP 和 UDP 形式的 DDoS攻擊。
研究員從多個捕獲的 Condi 樣本中,發現惡意軟件帶有多個不同的 Shell 編碼版本,部分更會通過 ADB 接口感染其他設備,暗示可能已有多個犯罪集團購買了 Condi 的服務,並根據自己的需要調整其攻擊方式。
Archer AX21 的用戶必須儘快從 TP-Link 的下載中心下載及更新韌體,阻止更多黑客利用漏洞入侵。而已受病毒感染的跡象包括設備過熱、經常出現網絡中斷、出現不明的設定值修改及管理員帳戶密碼重置等,就算不是 TP-Link 用家也可留意。
相關文章:【立即升級】MOVEit再爆漏洞 入侵概念驗證被公開客戶勢危
