La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis avertit les entreprises de corriger les routeurs TP-Link qui sont activement ciblés par des acteurs malveillants qui cherchent à les recruter dans le botnet Mirai.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale. » lit l’avis de sécurité.
La faille de certains routeurs Wi-Fi TP-Link a été repérée pour la première fois par la Zero Day Initiative (ZDI), un programme créé pour encourager le signalement privé des vulnérabilités du jour zéro aux fournisseurs concernés. Le programme a révélé que depuis la mi-avril 2023, les acteurs de la menace ont commencé à abuser de CVE-2023-1389, une faille de haute gravité trouvée dans les routeurs Wi-Fi TP-Link Archer A21 (AX1800). La faille, portant un score de gravité de 8,8, est décrite comme une faille d’injection de commande non authentifiée dans l’API locale de l’interface de gestion Web sur l’appareil.
Réseau de zombies Mirai
Les hackers utilisent la faille pour déployer la Mirai malware (s’ouvre dans un nouvel onglet), a ajouté ZDI, qui transforme l’appareil ciblé en un bot pour le botnet Mirai. Ils ont d’abord ciblé les routeurs d’Europe de l’Est au début du mois, pour ensuite se développer à l’échelle mondiale plus tard.
TP-Link a été informé de l’existence du jour zéro en janvier de cette année, après que deux groupes de recherche distincts ont démontré comment abuser de la faille lors de l’événement de piratage Pwn2Own Toronto en décembre 2022. La société a d’abord tenté de résoudre le problème à la fin février, mais le patch était incomplet et les appareils restaient vulnérables.
En avril, cependant, TP-Link a publié une nouvelle mise à jour du micrologiciel qui a résolu avec succès CVE-2023-1389. Les administrateurs informatiques et les propriétaires du routeur Wi-Fi Archer AX21 AX1800 doivent s’assurer que le matériel de leur appareil est mis à jour au moins vers la version 1.1.4 Build 20230219.
Certains des symptômes d’un routeur compromis incluent des déconnexions fréquentes d’Internet, des modifications des paramètres réseau de l’appareil que personne ne semble avoir effectuées, la réinitialisation des informations d’identification de l’administrateur et la surchauffe inexplicable du routeur.