Dark Mirai атакует ноябрьскую RCE-уязвимость в SOHO-роутерах TP-Link

Татьяна Никитина 10 Декабря 2021 - 17:24

Домашние пользователи

...

В прошлом месяце TP-Link устранила критическую уязвимость в роутерах TL-WR840N (EU) v5, популярных у домашних пользователей. Не прошло и двух недель, как дыру уже взяли на вооружение операторы одного из актуальных IoT-ботнетов — Dark Mirai, он же Manga и Dark.IoT.

Причиной появления уязвимости CVE-2021-41653, получившей 9,8 балла по шкале CVSS, является неадекватная санация пользовательского ввода на стороне сервера. Эксплойт позволяет с помощью вредоносных запросов захватить контроль над устройством.

Автор находки подчеркнул, что без аутентификации атака невозможна, однако в тех случаях, когда доступ к устройству можно получить через дефолтный пароль, это не проблема.

Проведенный в Fortinet анализ обновленного Dark Mirai показал, что в результате эксплойта на роутер загружается вредоносный скрипт tshit.sh. Он проверяет используемую архитектуру (x86, MIPS, ARM и проч.) и скачивает соответствующую полезную нагрузку.

Во избежание конкуренции зловред блокирует порты, которые обычно используют ботоводы. После этого он готов к выполнению команд на проведение DDoS-атак. Согласно результатам анализа, Dark Mirai поддерживает более десятка техник — SYN, DNS, UDP и TCP flood (в последнем случае с фрагментированием пакетов и без), DNS с отражением и усилением трафика и т. п.

В настоящее время в интернете активны несколько DDoS-ботнетов, составленных в основном из роутеров (BotenaGo, Mēris). В Fortinet решили отслеживать Dark Mirai, так как он один из самых активных. К тому же его арсенал постоянно обновляется, и добавление эксплойтов осуществляется очень оперативно.

По данным экспертов, Dark Mirai объявился в интернете в феврале этого года. Летом он засветился в атаках на сетевые устройства, работающие на прошивках Arcadyan и Realtek. В обоих случаях уязвимости были взяты на вооружение за считаные дни после выхода патча. DDoS-атак с этого ботнета в Fortinet пока не зафиксировали.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 13:23

Общее

Опубликована программа конференции «Совершенно безопасно 3.0: Точка опоры»

Опубликована полная программа конференции «Совершенно безопасно 3.0: Точка опоры», которая пройдёт 12 ноября с 10:00 до 16:30 (МСК). В центре обсуждения — объединение подходов экономической и информационной безопасности, автоматизация, искусственный интеллект и роль человека как ключевого элемента системы защиты.

Откроет конференцию дискуссия «Экономическая и информационная безопасность: синергия защиты или конфликт компетенций».

Участники — Алексей Борисов (Фонд «Сколково»), Виктор Минин (АРСИБ), Вячеслав Гребнев (ГК Гарда), Василий Окулесский (ЦМРБанк) и Юрий Драченин (Контур.Эгида, Staffcop).

Эксперты обсудят, как объединить метрики эффективности ЭБ и ИБ, какие компетенции станут определяющими для специалистов нового поколения и как компании могут решать проблему кадрового дефицита. Модератором выступит независимый эксперт Игорь Бирюков.

Во второй части участники конференции расскажут о практических проектах и технологических изменениях.

Даниил Бориславский (Staffcop) — о том, как автоматизация меняет мышление специалистов и почему человек остаётся центром любой системы безопасности.
Антон Ломовский, Василий Прокопьев и Елена Катаева (Контур.Фокус) — о комплексной проверке контрагентов, выявлении конфликта интересов и примерах снижения бизнес-рисков через автоматизацию.
Никита Габдуллин и Иван Черноскутов (Контур.Фокус) — о переходе проверок контрагентов от простых агрегаторов данных к ИИ-агентам.

Отдельный блок будет посвящён роли человека в безопасности.

Юрий Драченин (Контур.Эгида) объяснит, почему безопасность начинается с сотрудника и как формируется культура доверия.
Евгений Успенский (ДРТ Консалтинг) — о том, как в эпоху ИИ аналитикам помогает критическое мышление.
Никита Лисенков (ICSA) поделится примерами применения Process Mining и Anti-Fraud систем.
Анастасия Федорова (Positive Education) расскажет о развитии киберкомпетенций и формировании устойчивых команд.
Артем Избаенков (ГК Солар) представит доклад «ИИ-боты: новая атака на доверие», где объяснит, как выстраивать цифровой иммунитет организации.

В финале состоится сессия «Безопасность в балансе: находим опорную точку» — о том, как превратить безопасность из контролирующей функции в фактор устойчивого роста бизнеса.

Среди участников — Александра Тихомирова (Абсолют Банк), Наталья Пигарева (независимый эксперт) и другие специалисты.