Botnet infecteert DD-WRT-routers via vijf jaar oud beveiligingslek

In dit artikel:

Onderzoekers van Fortinet hebben een botnet met de naam C0XMO ontdekt dat DD-WRT-routers infecteert via een vijf jaar oude kwetsbaarheid (CVE-2021-27137). Die fout, waar in maart 2021 al voor werd gewaarschuwd, maakt onder bepaalde voorwaarden een buffer overflow en code-uitvoering mogelijk — misbruik vereist dat UPnP actief is (wat bij DD-WRT niet standaard het geval is). C0XMO verwijdert concurrerende malware op geïnfecteerde apparaten, zet de routers in voor DDoS-aanvallen en zoekt actief naar nieuwe kwetsbare routers. Naast het uitbuiten van kwetsbaarheden voert het botnet ook bruteforce-pogingen uit via Telnet en SSH. Raadzaam is firmware bij te werken, UPnP uit te schakelen, standaardwachtwoorden te veranderen en ongebruikte remote toegang (Telnet/SSH) te sluiten.