Americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) přidala na seznam známých zneužívaných zranitelností další tři chyby, na které se zaměřují provozovatelé známého botnetu Mirai. Jedna z nich se týká routerů i u nás populární značky TP-Link.
Dvě bezpečnostní trhliny, které byly na seznam zařazeny tento týden, se týkají softwaru WebLogic Server od Oraclu a logovací knihovny Log4j v jazyce Java, za kterou stojí organizace Apache Foundation. Třetí chyba spočívá v možnosti injektáže kódu na routerech TP-Link Archer AX21.
TP-Link Archer AX21 v ohrožení
Chyba, evidovaná jako CVE-2023-1389, se skrývá ve firmwaru zařízení před verzí 1.1.4 Build 20230219. Neautorizovaný útočník může tuto díru zneužít k injektování příkazů, které mohou vést ke vzdálenému spuštění kódu a následnému převzetí kontroly nad zařízením z jiné části sítě nebo internetu.
Skupina Trend Micro Zero Day Initiative (ZDI), která se zabývá vyhledáváním bezpečnostních hrozeb, počátkem minulého týdne ve své zprávě napsala, že v polovině dubna začali záškodníci stojící za botnetem Mirai zneužívat tuto chybu především k útokům na zařízení ve východní Evropě, nicméně kampaň se brzy rozšířila i mimo tento region.
Škodlivý software Mirai sdružuje infikovaná zařízení internetu věcí (IoT) s operačním systémem Linux do botnetu, který lze následně vzdáleně ovládat a zneužívat k provádění rozsáhlých síťových útoků, včetně útoků typu DDoS. Jedná se o koordinované útoky vedené z více zařízení najednou, jejichž cílem je přetížení a následné znepřístupnění nějakého webu nebo služby.
Stačí nainstalovat záplaty
Zranitelnost v routerech byla nalezena nezávisle několika týmy, které se v loňském roce účastnily soutěže Pwn2Own Toronto pořádané iniciativou ZDI. TP-Link mezi tím vydal firmware, který problém opravuje, nicméně na mnoha zařízeních není tato aktualizace stále nainstalována.
Poté, co se výrobce síťových zařízení dozvěděl o zneužívání bezpečnostní chyby botnetem Mirai, vydal prohlášení, v němž uživatele vyzývá k instalaci aktualizovaného firmwaru. U zařízení připojených k účtu TP-Link Cloud byl firmware aktualizován automaticky, ostatní uživatelé si ale musí routery aktualizovat sami.
„TP-Link bere bezpečnostní zranitelnosti velmi vážně a po obdržení hlášení se jimi aktivně zabývá. Firmware jsme zveřejnili na oficiálních webových stránkách a také jsme jej zaslali do zařízení zákazníků, kteří jsou připojeni k účtu TP-Link Cloud.“ uvádí firma.
Látání bezpečnostních děr
Odborníci z Trend Micro Zero Day Initiative konstatovali, že zjištění, že chyba byla zneužita tak rychle po vydání opravy, je dalším příkladem zkracující se doby mezi nalezením zranitelnosti a zahájením pokusů o její zneužití.
Také Oracle v lednu opravil zranitelnost softwaru WebLogic Server, na kterou upozornila CISA. Chyba byla nalezena ve verzích 12.2.1.2.0, 12.2.1.4.0 a 12.1.1.0.0 a byla zaevidována jako CVE-2023-21839. Je snadno zneužitelná a může umožnit neautentifikovanému útočníkovi, který má přístup k síti, napadnout server a získat přístup k datům v systému.
Poslední chyba, sledovaná jako CVE-2021-45046, se týká knihovny Log4j. Také v tomto případě již byly vydány aktualizace 2.16.0 (v jazyce Java 8) a 2.12.1 (Java 7), které by měly bezpečnostní problém eliminovat.