Zainstaluj aktualizację

Analitycy zagrożeń sieciowych odkryli aktywność botnetu Dark Mirai (znanego też jako Manga), polegającą na wykorzystaniu luki bezpieczeństwa w domowym routerze TP-Link TL-WR840N EU v5.

Usterka, którą oznaczono sygnaturą CVE-2021-41653 pozwala na zdalne wykonanie kodu na urządzeniu dzięki podatnej na ataki zmiennej host.

Firma TP-Link załatała lukę za pomocą poprawki TL-WR840N(EU)_V5_211109 (opublikowanej 12 listopada 2021 r.), jednak wielu użytkowników nie dokonało aktualizacji oprogramowaniarouterów.

Operatorzy Dark Mirai korzystając z istnienia luki CVE-2021-41653 uruchamiają na urządzeniu złośliwy skrypt tshit.sh, który pobiera na routery pliki binarne. Oczekują one na polecenia z serwera zarządzającego botnetem.

Aby zabezpieczyć router, należy wykonać następujące czynności:

• zaktualizować oprogramowanie urządzenia;
• ustawić hasło administratora o długości co najmniej 20 znaków;
• regularnie sprawdzać ustawienia DNS;
• włączyć na routerze zapory, które mogą być domyślnie wyłączone;
• zmienić adres podsieci i wymusić stosowanie mechanizmu SSL na stronie zarządzania;
• wyłączyć zdalne zarządzanie;
• wyłączyć UPnP i WPS.

fot. TP-Link