Onderzoekers hebben IoT-malware ontdekt die TP-Link wifi-routers via een kwetsbaarheid in de pingfunctie infecteert. TP-Link bracht vorige maand een beveiligingsupdate uit, maar maakt nergens in de beschrijving melding van de kwetsbaarheid. Tien dagen na het uitkomen van de firmware-update werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maken.
De kwetsbaarheid is aanwezig in versie vijf van de TL-WR840N-router. De diagnostische pagina van de router biedt de mogelijkheid om een ip-adres of domeinnaam te pingen. De invoer in het invoerveld van de pingfunctie wordt niet goed gecontroleerd, waardoor het mogelijk is om commando's uit te voeren. Bij de nu waargenomen aanvallen wordt het beveiligingslek gebruikt om de router een script te laten uitvoeren dat vervolgens de malware downloadt.
Beveiligingsonderzoeker Kamillo Matek meldde het beveiligingslek (CVE-2021-41653) op 20 september aan TP-Link. De fabrikant kwam op 12 november met de firmware-update, maar laat in de beschrijving nergens duidelijk merken dat de patch een kwetsbaarheid verhelpt. Er staat alleen: "Aanpassingen en bugfixes. Verbetert beveiliging apparaat."
De aanval is alleen door een geauthenticeerde aanvaller uit te voeren die toegang tot de router heeft. Dat lijkt echter geen hindernis, want tien dagen na het verschijnen van de firmware-update maakt de Manga-malware misbruik van de kwetsbaarheid, aldus securitybedrijf Fortinet. "Het is daarom cruciaal dat gebruikers hun standaardwachtwoord wijzigen", zegt onderzoeker Joie Salvio.
Deze posting is gelocked. Reageren is niet meer mogelijk.