TP-Link waarschuwt voor botnet dat routers besmet en M365-accounts kaapt

In dit artikel:

TP-Link waarschuwt dat een botnet kwetsbare routers infecteert en die apparaten inzet voor aanvallen op Microsoft 365-accounts. Het bedrijf noemt expliciet de end-of-life-modellen Archer C7 en TL-WR841N/ND als getroffen, maar sluit niet uit dat ook andere modellen vatbaar zijn. Ondanks dat de routers niet meer officieel ondersteund zijn, heeft TP-Link alsnog firmware-updates vrijgegeven om de gaten te dichten.

Aanvallers misbruiken volgens TP-Link twee zwakheden: CVE-2023-50224 waarmee ongeauthenticeerden op afstand inloggegevens kunnen bemachtigen en daarmee toegang krijgen, en CVE-2025-9377 in de ouderlijk-toezichtpagina die remote code execution mogelijk maakt. Met die toegang voegen kwaadwillenden de apparaten toe aan het zogenaamde "Quad 7" botnet.

De geïnfecteerde routers worden gebruikt voor password spraying tegen Microsoft 365-accounts: een techniek waarbij aanvallers veelgebruikte wachtwoorden over veel accounts heen proberen om detectie te vermijden. Microsoft gaf vorig jaar al een waarschuwing over dit botnet, en ook het Amerikaanse cyberagentschap CISA heeft inmiddels voor de twee kwetsbaarheden gewaarschuwd.

TP-Link adviseert eigenaren van de genoemde modellen de nieuwe firmware te installeren of te vervangen door een ondersteund apparaat en onderzoekt meldingen over andere mogelijke kwetsbare modellen. Voor extra bescherming zijn maatregelen als het inschakelen van multi-factor-authenticatie, het wijzigen van standaardwachtwoorden en het regelmatig updaten van netwerkapparatuur aan te raden.