Des experts ont détecté une faille de sécurité de haute gravité dans certains routeurs Wi-Fi TP-Link (s’ouvre dans un nouvel onglet) qui est actuellement utilisé pour détourner les appareils et les recruter dans un vaste botnet qui sera ensuite utilisé pour des attaques par déni de service distribué (DDoS).
Un rapport de la Zero Day Initiative (ZDI), un programme créé pour encourager le signalement privé des vulnérabilités du jour zéro aux fournisseurs concernés, a révélé que depuis la mi-avril de cette année, les acteurs de la menace ont commencé à abuser de CVE-2023-1389, un haut- défaut de gravité trouvé dans les routeurs Wi-Fi TP-Link Archer A21 (AX1800).
La faille, portant un score de gravité de 8,8, est décrite comme une faille d’injection de commande non authentifiée dans l’API locale de l’interface de gestion Web sur l’appareil.
Mirai en expansion
Les pirates utilisent la faille pour déployer le malware Mirai, déclare ZDI en outre, qui transforme l’appareil ciblé en un bot pour le botnet Mirai. Ils ont d’abord ciblé les routeurs d’Europe de l’Est au début du mois, pour ensuite se développer à l’échelle mondiale plus tard.
TP-Link a été informé de l’existence du jour zéro en janvier de cette année, après que deux groupes de recherche distincts ont démontré comment abuser de la faille lors de l’événement de piratage Pwn2Own Toronto en décembre 2022. La société a d’abord tenté de résoudre le problème à la fin février, mais le patch était incomplet et les appareils restaient vulnérables.
Le mois dernier, cependant, TP-Link a publié une nouvelle mise à jour du micrologiciel qui a résolu avec succès CVE-2023-1389. Les administrateurs informatiques et les propriétaires du routeur Wi-Fi Archer AX21 AX1800 doivent s’assurer que le matériel de leur appareil est mis à jour au moins vers la version 1.1.4 Build 20230219.
Certains des symptômes d’un routeur compromis incluent des déconnexions fréquentes d’Internet, des modifications des paramètres réseau de l’appareil que personne ne semble avoir effectuées, la réinitialisation des informations d’identification de l’administrateur et la surchauffe inexplicable du routeur.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)