Une vulnérabilité dans le routeur TP-Link Archer activement exploitée par le botnet Mirai

by chebbi abir

Une campagne d’attaques importante est menée par le botnet Mirai afin d’exploiter une faille de sécurité récente qui affecte le routeur Wi-Fi TP-Link Archer AX21 ! Lorsqu’un appareil est compromis, il rejoint le réseau de machines zombies du botnet !

La faille de sécurité associée à cette alerte à la référence CVE-2023-1389, hérite d’un score CVSS v3 de 8.8 sur 10 et elle a été découverte en décembre 2022 par des chercheurs en sécurité, à l’occasion de la compétition de hacking Pwn2Own de Toronto. D’ailleurs, lors de cette démonstration, les hackers sont parvenus à compromettre l’appareil par l’interface LAN et par l’interface WAN, ce qui signifie qu’il est possible de le compromettre depuis Internet.

Le routeur Wi-Fi 6 affecté par cette faille de sécurité est clairement identifié. Il s’agit du modèle TP-Link Archer AX21 (AX1800) et le 17 mars 2023, TP-Link a mis en ligne une mise à jour du firmware pour corriger cette vulnérabilité (voir ici).

La faille de sécurité CVE-2023-1389 se situe dans l’API locale de l’équipement, ce qui permet à un attaquant non authentifié d’exécuter des commandes sur le routeur. En fait, les données envoyées à l’API ne sont pas correctement vérifiées lorsque cela concerne les paramètres de langue, ce qui ouvre les portes à une exploitation.

Des attaques à l’échelle mondiale

La Zero Day Initiative précise qu’il y a eu des premiers signes d’exploitation de cette vulnérabilité le 11 avril 2023 en Europe de l’Est. Désormais, il y a des attaques à l’échelle mondiale, et la menace est très active… Le botnet Mirai étant capable d’exploiter cette vulnérabilité.

Une fois qu’un routeur est compromis par le malware Mirai, il intègre le botnet, ce qui signifie qu’il peut être utilisé pour participer à des attaques de type déni de service, au même type que d’autres machines zombies intégrés à ce botnet.

Si vous utilisez ce routeur TP-Link, vous devez effectuer la mise à jour dès que possible ! Cela est d’autant plus urgent s’il est connecté en frontal sur Internet (à la place de votre box).
Pour en savoir plus:

https://www.it-connect.fr/une-vulnerabilite-dans-le-routeur-tp-link-archer-activement-exploitee-par-le-botnet-mirai/

Top

Interdit de copier  ce contenu