#

Hírek, aktualitások...

Újabb súlyos biztonsági hibát fedeztek fel egy népszerű routerben

Pár nappal a Dark Mirai botnettel kapcsolatos felfedezés és az emiatt kiadott frissítés megjelenését követően ismét súlyos biztonsági hibát fedeztek fel a TP-LINK TL-WR840 típusú routereiben.

A sérülékenység elsődlegesen az Európában értékesített V5 verziószámú eszközöket érinti, emiatt javasolt átvizsgálni és szükség esetén frissíteni ezen routerek firmware-jeit.
A felfedezett hibát kihasználva a hackerek egy egyszerű módszer segítségével akár a routeren átfolyó teljes adatforgalmat is rögzíteni tudják, beleértve a videohívásokat és más érzékeny adatokat is. A sebezhetőséget alig 10 nappal azután fedezték fel, hogy a TP-Link a magyarországi KPMG etikus hekkerének bejelentése alapján frissítést adott ki a hálózati elosztóra. A Fortinet szerint a vírus azért különösen veszélyes, mert a sérülékenység nem kap elég figyelmet, a hekkerek viszont máris visszaélnek vele.

A sérülékenység a router PING funkcióját érinti, kihasználásával távolról lehet bármilyen kódot futtatni rajta. A kiberbűnözők rendkívül gyorsan mozogtak, a firmware frissítése és a hiba nyilvánosságra hozatala után két héttel máris használták azt a botnet terjesztésére és DDos támadás előkészítésére. A PING segítségével a támadás első szakaszában a hibát kihasználó üzenetet küldtek az IP cím mezőben. A hiba sikeres kihasználásához a routerbe be kell lépni, ami rendkívül könnyű, ha a gyári felhasználónevet és jelszót a tulajdonos nem változtatott meg.
A letölthető firmware frissítés nélkül az eszköz engedélyezi a kártékony kód futtatását, így észrevétlenül hozzáférést lehet szerezni az eszköz operációs rendszeréhez és az összes, kizárólag a gyártónak elérhető funkcióhoz is. Ez azt jelenti, hogy illetéktelenek akár a teljes hálózati forgalmat is rögzíthetik, ideértve a routeren keresztül folytatott video chateket, vagy akár a bankszámla forgalom adatait is.
A nagyobb problémát viszont az jelenti, hogy a hekkerek erre a sérülékenységre alapozva elkezdték terjeszteni a Manga, avagy Dark néven futó malware-t, ami a híres Mirai malware egyik változata (ez volt az a vírus, amely 2016-ban 250 ezer eszközt a szolgálatába állítva megbénította egyebek mellett a Twitter és az Amazon szervereit is).
Ahogy a Mirai botnet esetében is, a routerbe belépve a Dark Mirai felméri az áldozat architektúráját, hogy az ahhoz illő kódot letöltse. Azután a bot blokkolja az általában megcélzott portokat, hogy más kártevő ne juthasson be az eszközbe. Miután a malware-t telepítették, a bot várja a távoli szervertől érkező parancsot, hogy DDoS támadást hajtson végre. Az ilyen támadások lényege, hogy a hekkercsoport a hatalmába kerített gépekről üzenetekkel kezdi bombázni a megcélzott szervereket, amelyek a túlterhelés alatt feladják a küzdelmet.

A gyártó által közzétett frissítés ide kattintva érhető el. Ezt azoknak kell telepíteniük, akik egy 2017-2019 között gyártott TP-Link TL-WR840N-es típusjelű, V5 verziójú routert használnak. A router típusát az eszköz hátoldalán ellenőrizhetik.

Cikk megosztása: