Une vulnérabilité dans certains routeurs Archer AX1800 TP-Link permet au malware Mirai d’étendre son botnet DDoS sans retenue.

Connu pour ses attaques DDoS sophistiquées, le malware Mirai exploite une vulnérabilité du routeur TP-Link Archer AX21 (AX1800) pour étendre son botnet. En raison d’un bogue dans l’API locale, il prend en charge les appareils concernés dans le monde entier et attaque donc principalement les serveurs de jeux.

Le botnet Mirai exploite une vulnérabilité connue dans les routeurs TP-Link depuis décembre 2022

Dès décembre 2022, les participants à l’événement de piratage Pwn2Own ont réussi à exploiter une vulnérabilité dans les routeurs TP-Link de type AX1800. Cela a été fait par deux équipes différentes. L’un a attaqué l’appareil via l’interface LAN et l’autre via l’interface WAN.

Cependant, la vulnérabilité identifiée comme CVE-2023-1389 est désormais également exploitée par des acteurs malveillants. Par exemple, ceux sous le nom «Mirai« Malware a avoué son botnet en prenant le contrôle des routeurs TP-Link vulnérables et en les incorporant dans son armée DDoS.

La vulnérabilité dans l’API des paramètres de langue permet aux logiciels malveillants de prendre le contrôle des routeurs TP-Link

Comme le rapporte BleepingComputer, la vulnérabilité du TP-Link Archer AX21 (AX1800) est due à un traitement incorrect dans l’API Locale. Cette interface, chargée de gérer les paramètres de langue du routeur, ne valide donc pas correctement les données reçues.

De ce fait, les attaquants peuvent utiliser une requête POST via le «pays« Injecter du code malveillant. Enfin, une deuxième requête assure que le dispositif exécute la commande précédemment transmise.

La Zero Day Initiative (ZDI) a découvert les premiers indices de l’exploitation de cette erreur dans la nature le 11 avril. Commençant en Europe de l’Est, les attaques se seraient propagées dans le monde entier.

Le dernier malware Mirai cible les serveurs de jeux

Le malware Mirai, qui cible la vulnérabilité TP-Link susmentionnée, est principalement conçu pour mener des attaques DDoS. Il possède des fonctionnalités qui lui permettent d’attaquer le Valve Source Engine (VSE). Selon le ZDI, il semble se concentrer principalement sur les serveurs de jeux.

De plus, le malware botnet est capable d’imiter le trafic réseau légitime. Cela rend difficile la distinction entre le trafic DDoS et le trafic de données régulier via des solutions de sécurité appropriées.

Si vous souhaitez vous protéger contre les logiciels malveillants de ce type, vous devez prendre quelques mesures appropriées. Cela inclut également l’importation régulière des mises à jour actuelles du micrologiciel. Avec la version 1.1.4 Build 20230219, TP-Link a déjà fourni un correctif en mars pour combler la faille de sécurité dans l’Archer AX21 (AX1800) concerné.