TP-Link 家用路由器 TL-WR840N 嚴重 RCE 漏洞，遭駭侵者大規模植入 Dark Mirai 僵屍網路惡意軟體

資安廠商 Fortinet 近日發表資安通報，指出該公司旗下的資安研究人員，近期觀察到有駭侵者鎖定 TP-Link 一款暢銷家用路由器的資安漏洞發動攻擊，在路由器中植入 Dark Mirai 僵屍網路惡意軟體。

本次駭侵攻擊針對的 TP-Link 家用路由器機種為 TP-Link TL-WR840N EU V5，於 2017 年上市，是一款頗受消費者歡迎的家用路由器。

駭侵者係利用該款路由器舊版韌體中的一個資安漏洞 CVE-2021-41653 來發動攻擊；駭侵者只要在該路由器管理界面中的 IP 位址輸入方框中輸入特製的酬載資訊，即可誘發此一漏洞，進而遠端執行任意程式碼。

CVE-2021-41653 的 CVSS 危險程度分數高達 9.8 分（滿分為 10 分），危險程度評級為最高等級的「嚴重」等級（Critical）。

在 Fortinet 觀察到的攻擊活動中，駭侵者利用 CVE-2021-41653 漏洞，強制路由器下載並執行一段名為「tshit.sh」的惡意程式碼，接著再透過後續的兩個要求，下載 Mirai 變種僵屍網路惡意軟體的二進位碼。

雖然駭侵者必須先知道路由器管理界面的登入資訊，才能使用上述手法發動攻擊，不過絕大多數的這類路由器使用者，都不會特別注意資安須知，並在啟用路由器後立即修改管理者登入密碼，更不會經常更新韌體與作業系統，因此駭侵者可以透過廠商預設的管理登入密碼，即可輕鬆完成駭侵程序。

TP-Link 已於 2021 年 11 月 12 日推出新版韌體，將此漏洞修復完成；資安專家呼籲該款產品用戶，應立即將產品韌體更新至最新版本，以避免自己的裝置遭駭侵者利用來發動 DDoS 攻擊。

本文轉載自TWCERT/CC。