Fortinet-Forscher weisen auf ein neues DDoS-Botnetz namens Condi – Ausnutzung einer kritischen Sicherheitslücke in WLAN-Routern vom Typ TP-Link Archer AX21 (AX1800), um eine Bot-Armee aufzubauen.
Dieses Netzwerk wird für bösartige DDoS-Angriffe vermietet, während der Quellcode des Botnetzes und andere Tools für schnelles Geld verkauft werden. TP-Link hat ein Update veröffentlicht, um diese Sicherheitslücke zu schließen. Benutzern von Archer AX21-Routern wird empfohlen, es sofort anzuwenden.
Sicherheitslücke in TP-Link-Routern
Unterstützt den Bericht des ZDI von Anfang des Jahres, Fortinet-Forscher geben diese Woche an, dass die Archer AX21-Router von TP-Link aufgrund eines Sicherheitsfehlers ausgenutzt werden – wodurch Bedrohungsakteure in ihre Hardware eindringen und sie als Bots verwenden können.
Sie diskutierten auch über einen neuen DDoS-Botnet-Dienst namens Condidie letzten Monat auftauchte und die WLAN-Router TP-Link Archer AX21 (AX1800) ins Visier nahm. Forscher behaupten, dass die Condi-Gruppe eine Sicherheitslücke in AX21-Routern ausnutzt, um eine Armee von Bots aufzubauen, die DDoS-Angriffe durchführen.
Die Bande beginnt damit, das Internet nach öffentlichen IPs mit offenen Ports 80 oder 8080 zu durchsuchen und sendet eine fest codierte Exploit-Anfrage zum Herunterladen und Ausführen eines Remote-Shell-Skripts. Andere Beispiele deuteten auch darauf hin, dass sich das Botnetz über einen verfügbaren ADB-Port (TCP/5555) verbreitete.
Nach der Infektion versucht die Malware, alle Prozesse ihrer Konkurrenten auf dem Host-Gerät zu beenden und ältere Versionen von sich selbst zu stoppen. Und da sie keinen Persistenzmechanismus hat, um zwischen Geräteneustarts zu überleben, Die Condi-Malware beendet die betreffenden Neustart- oder Herunterfahrfunktionen des Geräts.
Nach dem Mirai-Botnetz ist Condi der neueste Bedrohungsakteur, der diese Schwachstelle ausnutzt, sagen Forscher. TP-Link hat im März 2023 ein Update zum Patchen dieses Fehlers veröffentlicht und rät Benutzern von Archer AX21-Routern, es umgehend anzuwenden.
Wenn Sie sich nicht sicher sind, ob Sie mit Condi infiziert sind, achten Sie auf Anzeichen wie Überhitzung des Geräts, Netzwerkstörungen, unerklärliche Änderungen der Netzwerkeinstellungen eines Geräts und Zurücksetzungen des Administratorkennworts. Wenn Sie bei einem dieser Anzeichen einen Verdacht hegen, setzen Sie das Gerät zurück und installieren Sie sofort das verfügbare Update.
