Eine neue Bedrohung für TP-Link-Router vom Typ Archer AX1800 ist aufgetaucht: Die Mirai-Malware nutzt eine Sicherheitslücke in diesem Router aus um ihr DDoS-Botnetz auszubauen und vor allem Spieleserver anzugreifen. Die Sicherheitslücke wurde im Dezember 2022 während der Hacking-Veranstaltung Pwn2Own entdeckt und als CVE-2023-1389 getrackt. Nun haben böswillige Akteure diese Schwachstelle ausgenutzt um die TP-Link-Router zu übernehmen.
Fehlerhafte Verarbeitung in der Locale-API als Einfallstor
Die Schwachstelle beruht auf einer fehlerhaften Verarbeitung in der Locale-API die zur Verwendung die Verwaltung der Spracheinstellungen des Routers zuständig ist. Angreifer können mit einem POST-Request über den Parameter “country” bösartigen Code einschleusen und das Gerät übernehmen. Eine zweite Anfrage sorgt schließlich dafür, dass der zuvor übermittelte Befehl ausgeführt wird. Die Mirai-Malware nutzt diese Schwachstelle um die TP-Link-Router zu infizieren und ihr Botnetz zu erweitern.
Mirai-Malware fokussiert sich auf Spieleserver
Die Mirai-Malware ist auf die Ausführung von DDoS-Angriffen spezialisiert und kann die Valve Source Engine (VSE) angreifen um vor allem Spieleserver ins Visier zu nehmen. Die Malware kann ebenfalls legitimen Netzwerkverkehr imitieren um die Erkennung durch Sicherheitslösungen zu erschweren.
Maßnahmen zum Schutz vor der Mirai-Malware
Um sich vor der Mirai-Malware und ähnlichen Bedrohungen zu schützen, empfiehlt es sich, regelmäßig Firmware-Updates zu installieren. TP-Link hat bereits im März einen Patch (Version 1․1․4 Build 20230219) bereitgestellt um die Sicherheitslücke im Archer AX21 (AX1800) zu schließen. Es ist auch ratsam · eine Firewall zu verwenden und sichere Passwörter zu wählen · um Angriffen vorzubeugen.
Kommentare