TP-Link Archer AX21-routers via oud lek opgenomen in diverse botnets
Diverse botnets maken gebruik van een bekende kwetsbaarheid in TP-Link Archer AX21 (AX1800). Het beveiligingsprobleem maakt het mogelijk commando's te injecteren in de routers, en hen zo onderdeel te maken van een botnet. Het lek is vorig jaar al gedicht, maar niet alle routers zijn daadwerkelijk geüpdatet.
Het gaat om de kwetsbaarheid CVE-2023-1389, waarvan de ernst als hoog is ingeschat. Het stelt ongeautoriseerde gebruikers in staat commando's te injecteren via een API die via de webmanagementinterface benaderbaar is. Het lek is in januari 2023 ontdekt door onderzoekers en gemeld bij TP-Link. het bedrijf bracht een firmware-update uit waarmee het lek is gedicht. Korte tijd later verscheen ook Proof of Concept code online.
Inmiddels buiten de makers van meerdere botnets het lek uit om TP-Link Archer AX21 routers onderdeel te maken van hun botnet, waarschuwt Fortinet. Het gaat om het de botnetten AGoent, Moobot, Miori en Condi, evenals varianten van Gafgyt- en Mirai-botnetten. Het bedrijf roept beheerders op hun TP-Link Archer AX21 routers zo snel mogelijk te updaten. Meer informatie is hier beschikbaar.