Egy új sérülékenységet használ ki terjedéséhez a Dark Mirai nevű botnet: a biztonsági hiba kódneve CVE-2021-41653, és a TP-Link típusú TL-WR840N EU V5 otthoni routereket érinti. A hibát egy magyar biztonsági szakértő, Kamilló Matek fedezte fel, és jelezte a gyártónak még szeptember közepén, a frissítést novemberben adták ki.
A hibáról bővebben saját blogján ír a biztonsági szakértő, mely dióhéjban arról szól, hogy egy sérülékeny paraméter engedélyezi az azonosított felhasználók számára, hogy tetszőleges parancsokat hajtsanak végre a céleszközön. A TP-Link azóta frissítette az érintett TL-WR840N(EU)_V5_171211 firmware-t, a frissítést javasoljuk telepíteni.
A sérülékenység a router PING funkcióját érinti, kihasználásával távolról lehet bármilyen kódot futtatni rajta. A kiberbűnözők rendkívül gyorsan mozogtak, a firmware frissítése és a hiba nyilvánosságra hozatala után két héttel máris használták azt a botnet terjesztésére és DDos támadás előkészítésére.
A Dark Mirai botnet a Mirai nyilvánosan elérhető kódján alapul. A Fortinet biztonsági szakértői által megfigyelt támadásokban arra kényszerítették a sérülékeny routereket, hogy káros szkripteket futtassanak.
A PING segítségével a támadás első szakaszában a hibát kihasználó üzenetet küldtek az IP cím mezőben. A hiba sikeres kihasználásához a routerbe be kell lépni, ami rendkívül könnyű, ha a gyári felhasználónevet és jelszót a tulajdonos nem változtatott meg.
Ahogy a Mirai botnet esetében is, a routerbe belépve a Dark Mirai felméri az áldozat architektúráját, hogy az ahhoz illő kódot letöltse. Azután a bot blokkolja az általában megcélzott portokat, hogy más kártevő ne juthasson be az eszközbe. Miután a malware-t telepítették, a bot várja a távoli szervertől érkező parancsot, hogy DDoS támadást hajtson végre.
Matek Kamilló etikus hackerként dolgozik, szabadidejében különböző eszközök sérülékenységeit kutatja. Korábban a Pandora FMS monitorozó szoftverben talált több kisebb-nagyobb sérülékenységet, melyeket láncoltan kihasználva bejutott a Pandora szerverébe.