殭屍網路Condi綁架TP-Link無線路由器,利用已知漏洞進行滲透
漏洞利用與攻擊手法
2025年6月,美國網路安全暨基礎設施安全局(CISA)指出,TP-Link無線路由器存在CVE-2023-33538漏洞,已遭攻擊者利用,並被列為已遭利用漏洞名冊(KEV)。資安公司發現,有人嘗試掃描此漏洞,企圖植入Mirai殭屍網路變種。
惡意軟體特性與擴散機制
殭屍網路Condi具備自我更新機制,攻擊者會將受害路由器設定為網頁伺服器,並提供惡意軟體二進位檔案,用以向其他存在漏洞的設備進行橫向感染。該惡意軟體基於Mirai變種,具備強大的橫向感染能力,並能清除設備上的防禦機制。
相關漏洞與設備資訊
- CVE-2023-1389:TP-Link Archer AX-21路由器的命令注入漏洞,雖於2023年3月已修補,但感染規模仍持續擴大。
- 其他相關漏洞包括CVE-2020-25506、CVE-2022-37055、CVE-2024-10914與CVE-2024-10915,皆為高風險(CVSS 9.8分)。
攻擊者與影響範圍
根據報告,至少有六個不同殭屍網路惡意軟體集團,正試圖濫用TP-Link Archer AX21(AX1800)路由器的已知漏洞,攻擊範圍擴及數千臺設備。有報導指出,某黑客組織「Storm 0940」被懷疑由中共政府支持,已控制超過16,000臺裝置,並將其轉化為「殭屍網路」。
專家評論與建議
Fortinet指出,未修補漏洞的路由器或物聯網設備是殭屍網路惡意軟體的潛在目標。專家建議用戶定期更新路由器固件,並啟用強化安全設定,以降低被攻擊風險。