添加链接
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
坚韧的丝瓜  ·  720N ...·  4 天前    · 
儒雅的碗  ·  tplink Openwtr ...·  4 天前    · 
爱吹牛的牙膏  ·  [已解决] ...·  2 天前    · 
长情的豆腐  ·  HK's note ✨ 小米 ...·  2 天前    · 
高大的眼镜  ·  Infrastructure ...·  2 月前    · 
坚韧的哑铃  ·  特约撰稿 | ...·  4 月前    · 
鼻子大的松鼠  ·  SQL 如果A欄位是NULL ...·  1 年前    · 

至少有六個不同的殭屍網絡惡意軟件集團,正在試圖濫用 TP-Link Archer AX21 (AX1800) 路由器的一個已知漏洞,而根據網絡安全公司 Fortinet 的數據顯示,各路黑客平均每日都會嘗試利用這個漏洞發動約五萬次攻擊,所以用戶如果過了一年仍未修補這個漏洞,到發現被入侵時,就只能怨自己慢幾拍。

有好幾個網絡安全研究人員,在 2023 年 1 月發現了 TP-Link Archer AX21 路由器的網絡管理介面存在嚴重的零日漏洞,研究員指出黑客可以通過連接路由器的 API,在路由器上不經身分驗證而執行惡意編碼,從而達到控制路由器發動 DDoS 或竊取機密資料。舉報提交後,TP-Link 在 2023 年 3 月已推出修補檔去堵塞漏洞,而安全研究員亦在稍後將概念驗證公諸於世,以提升同業的安全水平。

在公布概念驗證後,研究員便發現有多個黑客組織針對這項漏洞發動攻擊,當中包括多個變種 Mirai,以及一個名為 Condi 的殭屍網絡等。而由今年三月開始,Fortinet 研究員發現針對這個漏洞發動的攻擊激增,由至少六個殭屍網絡集團發動的攻擊平均每日達四萬次,最高峰時更可達五萬次。這些殭屍網絡利用不同的方法,嘗試去控制仍存在漏洞的設備,並命令它們參與以下惡意活動。

AGoent:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,然後刪除文件以隱藏入侵痕跡。

Gafgyt 變種:通過下載惡意編碼執行 Linux 二進制文件,並維持與控制中心的連接,主要控制裝置發動 DDoS 攻擊。

Moobot:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,然後刪除文件以隱藏入侵痕跡。

Miori:利用 HTTP 和 TFTP 傳輸協定下載及執行 ELF 文件,並使用 hard-coded 在韌體中的帳戶憑證進行暴力破解。

Mirai 變種:下載並執行惡意編碼,從控制中心下載並運行 ELF 文件,這些文件會使用 UPX 壓縮,以避免被檢測的風險。

Condi:使用下載器來提高感染率,阻止設備重新啟動以維持持久性,如分析到目標並非實體裝置或含有特定防護措施,便會終止攻擊以避免被檢測。

從上述各大殭屍網絡的攻擊手法可見,黑客們會使用各種方法搶攻,令攔截攻擊變得非常困難。而 Fortinet 的報告顯示,其實最直接的方法便是立即安裝廠方於去年釋出的更新檔,不過偏偏仍有很多用戶還未採取行動,繼續使用過期韌體。另外,專家仍建議用戶應該修改默認管理員密碼及使用強密碼,如非必要,應禁止從外部訪問管理員介面。

資料來源: https://www.bleepingcomputer.com/news/security/multiple-botnets-exploiting-one-year-old-tp-link-flaw-to-hack-routers/

#Fortinet #Ransomware #TP-Link #已知漏洞 #網絡安全 wepro180

wepro180 由 IT 業界專家組成,以生動有趣、深入淺出方式,提供最新 IT 動態、趨勢、技術、行業熱話、專題報導等內容。
致力提升亞太地區科技知識及網絡安全意識,促進新技術應用。