Fortinet-forskare pekar på ett nytt DDoS-botnät som heter Condi – utnyttjar en kritisk sårbarhet i TP-Link Archer AX21 (AX1800) Wi-Fi-routrar för att bygga en armé av bots.
Det här nätverket hyrs ut för skadliga DDoS-attacker samtidigt som det säljer sin botnätskällkod och andra verktyg för snabba pengar. TP-Link släppte en uppdatering för att korrigera denna sårbarhet, och användare av Archer AX21-routrar rekommenderas att tillämpa den omedelbart.
Säkerhetsbugg i TP-Link-routrar
Stödja ZDI:s rapport tidigare i år, Fortinet-forskare denna vecka uppger att TP-Links Archer AX21-routrar utnyttjas i det vilda av ett säkerhetsfel – som låter hotaktörer bryta mot sin hårdvara och använda dem som botar.
De också diskuteras en ny DDoS-botnättjänst som heter Condisom dök upp förra månaden, riktad mot TP-Link Archer AX21 (AX1800) Wi-Fi-routrar. Forskare hävdar att Condi-gruppen utnyttjar en säkerhetsbugg i AX21-routrar för att bygga en armé av bots för att utföra DDoS-attacker.
Gänget börjar med att skanna internet efter offentliga IP:er med öppna portar 80 eller 8080 och skickar en hårdkodad exploateringsförfrågan för att ladda ner och exekvera ett fjärrskalskript. Andra prover indikerade också att botnätet spreds genom en tillgänglig ADB-port (TCP/5555).
Efter infektering försöker skadlig programvara att döda någon av sina konkurrenters processer på värdenheten och stoppar äldre versioner av sig själv. Och eftersom den inte har en uthållighetsmekanism för att överleva mellan enhetens omstarter, Condi malware dödar de berörda omstarts- eller avstängningsfunktionerna för enheten.
Efter Mirai-botnätet är Condi den senaste hotaktören som utnyttjar denna sårbarhet, säger forskare. Väl, TP-Link har släppt en uppdatering för att korrigera detta fel i mars 2023 och råder användare av Archer AX21-routrar att använda det omedelbart.
Om du är osäker på att bli infekterad av Condi, leta efter tecken som överhettning av enheten, nätverksavbrott, oförklarliga förändringar i en enhets nätverksinställningar och återställning av administratörens lösenord. Om du hittar misstankar i något av dessa, återställ och tillämpa den tillgängliga uppdateringen omedelbart.