idNSA.id - Botnet Dark Mirai menyebar dengan mengeksploitasi kerentanan baru, dilacak sebagai CVE-2021-41653, memengaruhi router rumah TP-Link TL-WR840N EU V5.
“Fungsi PING pada router TP-Link TL-WR840N EU v5 dengan firmware melalui TL-WR840N(EU)_V5_171211 rentan terhadap eksekusi kode jarak jauh melalui muatan yang dibuat di bidang input alamat IP.” membaca deskripsi untuk cacat CVE-2021-41653.
TP-Link mengatasi kekurangan tersebut pada 12 November 2021 dengan merilis pembaruan firmware TL-WR840N(EU)_V5_211109.
Kerentanan ini ditemukan oleh peneliti keamanan Kamilló Matek ( @k4m1ll0 ) yang juga menerbitkan eksploitasi PoC untuk kelemahan tersebut.
Peneliti dari Fortinet melaporkan bahwa operator botnet menambahkan eksploitasi untuk RCE ini ke operasi mereka hanya dua minggu setelah TP-Link merilis pembaruan firmware.
Botnet Dark Mirai didasarkan pada kode Mirai yang tersedia untuk umum, dalam kampanye terbaru yang dirinci oleh Fortinet, ini mengeksploitasi kelemahan untuk memaksa router yang rentan mengunduh dan mengeksekusi skrip berbahaya, tshit.sh , yang kemudian mengunduh muatan biner utama.
Di bawah ini adalah dua permintaan yang dikirim ke perangkat untuk mengkompromikannya:
Para peneliti menunjukkan bahwa eksploitasi yang berhasil memerlukan otentikasi router.
Seperti botnet Mirai, Dark Mirai menentukan arsitektur korban untuk mengambil dan mengunduh muatan yang cocok. Kemudian bot memblokir koneksi ke port yang biasanya ditargetkan untuk mencegah malware lain menginfeksi perangkat.
Setelah menginstal malware, ia menunggu perintah dari server C&C (command and control) untuk melakukan beberapa variasi serangan DoS (denial of service).
Fortinet menerbitkan Indicators of Compromise (IoC) untuk serangan baru-baru ini.
