多个僵尸网络利用一年以前的 TPLink 漏洞攻击路由器

关键要点

TPLink Archer AX21 路由器因一年前的高严重性命令注入漏洞CVE20231389受到攻击。每天的攻击尝试已达到 50000 次，攻击者利用不同的僵尸网络变种。总共有 6 个主要僵尸网络参与攻击，包括 Mirai 和 Gafgyt 等。

根据 BleepingComputer 的报道，受一年以前高危的未经验证的命令注入漏洞影响的 TPLink Archer AX21 路由器，近期已遭到至少六个 僵尸网络 的攻击。该漏洞在去年的三月份已经被 TPLink 进行修复，但仍然有大量恶意攻击。

根据 Fortinet 的报告，利用这一漏洞的攻击尝试在上个月达到了每日 50000 次，其中包括了 Mirai 和 Gafgyt 的多个变种，以及 AGoent、Condi、Moobot 和 Miori 的有效载荷。这些僵尸网络各有不同的行为方式来实现对设备的控制和恶意活动。

僵尸网络变种分析

僵尸网络名称主要特点AGoent下载 ELF 文件，便于妥协Moobot下载 ELF 文件，便于妥协Miori下载 ELF 文件，便于妥协Mirai通过终止数据包分析来隐藏操作Gafgyt启用分布式拒绝服务攻击，采用 Linux 二进制执行脚本Condi通过下载脚本实现更严重的妥协，并提升网络的持久性

研究人员指出，虽然 AGoent、Moobot、Miori 和 Mirai 都在下载 ELF 文件来辅助妥协，但仅有 Mirai 通过控制数据包分析来实现隐蔽处理，而其他变种则会删除活动痕迹的相关文件。另一方面，Gafgyt 变种的功能是通过执行 Linux 二进制脚本来实施分布式拒绝服务攻击，而 Condi 通过下载器脚本实现更深层次的攻击并增强了网络的持续性。

多重攻击手段及其变体显示出了网络安全的持续威胁，建议 TPLink 用户尽快检查和更新他们的设备，以保护免受这一类型攻击的影响。

一元飞机场