Хакеры начали атаки на маршрутизаторы через уязвимость спустя всего 2 дня после ее раскрытия
Всего через два дня после раскрытия уязвимости, "потенциально затрагивающей миллионы домашних маршрутизаторов", специалисты Juniper Threat Labs обнаружили свидетельства того, что она уже активно эксплуатируется в хакерских атаках.
3 августа 2021 года исследователь ИБ-компании Tenable Эван Грант (Evan Grant) опубликовал подробности о нескольких уязвимостях в маршрутизаторах от ряда операторов связи, в том числе Verizon и O2, а всего через два дня специалисты Juniper Threat Labs обнаружили, что одну из них ( CVE-2021-20090 ) начали эксплуатировать хакеры, причем попытки атак осуществлялись с IP-адресов в Ухани (провинция Хубэй, Китай). Злоумышленники предположительно пытались добавить атакуемые устройства в ботнет Mirai, использующийся для DDoS-атак еще с 2016 года.
Вышеупомянутая уязвимость позволяет хаерам обходить механизмы аутентификации в маршрутизаторах производства компании Arcadyan, просматривать конфиденциальные файлы и модифицировать конфигурацию устройств.
Компания Tenable уведомила о проблеме четырех операторов связи, Hughesnet, O2, Verizon и Vodafone, еще 21 апреля, а Arcadyan - днем позже. Однако она затрагивает гораздо больше вендоров, и отследить их всех, чтобы предупредить, было слишком сложно, поэтому специалисты обратились за помощью в Координационный центр CERT.
Список затронутых уязвимостью CVE-2021-20090 продуктов доступен на сайте CERT. Пользователям настоятельно рекомендуется обновить прошивку своих устройств до последней версии и отключить удаленное администрирование (через WAN) и WAN-интерфейс.