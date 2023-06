Er is op dit moment malware actief die kwetsbare wifi-routers van fabrikanten TP-Link en LB-LINK onderdeel van ddos-botnets maakt, zo waarschuwen onderzoekers van Akamai en Fortinet. De routers van LB-LINK worden aangevallen via een kwetsbaarheid (CVE-2023-26801) waardoor een aanvaller willekeurige commando's op de router kan uitvoeren. Het versturen van een speciaal geprepareerd request naar kwetsbare routers is hiervoor voldoende.

De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid werd afgelopen maart ontdekt. Securitybedrijf Palo Alto Networks meldde eind mei dat er al sinds 10 april misbruik van het beveiligingslek plaatsvindt. Akamai zag het eerste misbruik op 13 juni. De aanvallen zijn het werk van een variant van de Mirai-malware, die besmette routers gebruikt voor het uitvoeren van ddos-aanvallen. Het is onduidelijk of LB-LINK al firmware-updates heeft uitgebracht om de problemen te verhelpen.

Fortinet waarschuwt voor een malware-exemplaar genaamd Condi dat kwetsbare TP-Link Archer AX21 (AX1800) routers infecteert. Hiervoor wordt gebruikgemaakt van een kwetsbaarheid (CVE-2023-1389) waardoor command injection via de webinterface mogelijk is. Vervolgens is het mogelijk om malware te installeren. Dit beveiligingslek werd eerder al door een Mirai-variant gebruikt, maar wordt nu ook door de Condi-malware ingezet. Ook dit botnet voert ddos-aanvallen uit. Eind april maakte TP-Link bekend dat voor het beveiligingslek firmware-updates beschikbaar zijn.