Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), işletmeleri, onları Mirai botnet’ine dahil etmek isteyen kötü niyetli aktörler tarafından aktif olarak hedef alınan TP-Link yönlendiricilerine yama yapmaları konusunda uyarıyor.
“Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sıklıkla kullanılan saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.” güvenlik danışma belgesi okur.
Belirli TP-Link Wi-Fi yönlendiricilerindeki kusur ilk olarak, sıfır gün güvenlik açıklarının özel olarak etkilenen satıcılara bildirilmesini teşvik etmek için oluşturulmuş bir program olan Zero Day Initiative (ZDI) tarafından tespit edildi. Program, 2023 Nisan ayının ortasından bu yana, tehdit aktörlerinin TP-Link Archer A21 (AX1800) Wi-Fi yönlendiricilerinde bulunan yüksek önem dereceli bir kusur olan CVE-2023-1389’u kötüye kullanmaya başladığını tespit etti. Önem derecesi 8,8 olan kusur, cihazdaki web yönetimi arayüzünün yerel API’sinde kimliği doğrulanmamış bir komut enjeksiyon hatası olarak tanımlanıyor.
mirai botnet
Bilgisayar korsanları, kusuru Mirai’yi dağıtmak için kullanıyor kötü amaçlı yazılım (yeni sekmede açılır), ZDI ayrıca, hedeflenen cihazı Mirai botnet için bir bota dönüştürdüğünü belirtti. İlk olarak bu ayın başlarında Doğu Avrupa’daki yönlendiricileri hedef aldılar, ancak daha sonra küresel olarak genişlediler.
TP-Link, Aralık 2022’de Pwn2Own Toronto bilgisayar korsanlığı etkinliği sırasında iki ayrı araştırma grubunun kusurun nasıl kötüye kullanılacağını göstermesinin ardından bu yılın Ocak ayında sıfır-gün’ün varlığı hakkında bilgi aldı. Şirket sorunu ilk olarak geç saatlerde düzeltmeye çalıştı. Şubat, ancak yama eksikti ve cihazlar savunmasız kaldı.
Ancak Nisan ayında TP-Link, CVE-2023-1389’u başarıyla ele alan yeni bir üretici yazılımı güncellemesi yayınladı. Archer AX21 AX1800 Wi-Fi yönlendiricisinin BT yöneticileri ve sahipleri, cihazlarının donanımının en az 1.1.4 Yapı 20230219 sürümüne güncellendiğinden emin olmalıdır.
Güvenliği ihlal edilmiş bir yönlendiricinin belirtilerinden bazıları, sık sık internet bağlantısının kesilmesi, cihazın ağ ayarlarında kimsenin yapmadığı görünen değişiklikler, yönetici kimlik bilgilerinin sıfırlanması ve yönlendiricinin açıklanamayan aşırı ısınmasıdır.