Хакери почали зламувати роутери TP-Link і підключати їх до ботнету

Дослідники Akamai повідомляють, що ботнет працює як мінімум із вересня і націлений на пристрої з непропатченою прошивкою.

Уразливість DigiEver дозволяє віддаленим зловмисникам виконувати команди через неправильну перевірку введення в URI /cgi-bin/cgi_main.cgi. Хакери використовують цей недолік для впровадження шкідливих команд та завантаження шкідливого програмного забезпечення із зовнішніх серверів. Ботнет також експлуатує CVE-2023-1389 у пристроях TP-Link та CVE-2018-17-532 у маршрутизаторах Teltonika RUT9XX.

Скомпрометовані пристрої використовуються для DDoS-атак або подальшого поширення хробака. Ботнет відрізняється використанням шифрування XOR та ChaCha20, а також сумісністю з різними архітектурами, включаючи x86, ARM та MIPS.

Користувачам рекомендується оновити прошивку та стежити за незвичайною активністю пристроїв, щоб знизити ризики.