Nyheter
Hackere har tatt kontroll over over 5 000 rutere – sjekk om din står på listen
En hackergruppe har kapret mer enn 5 000 rutere, som nå brukes til ondsinnede formål. Her kan du sjekke om din ruter er i faresonen.
En alvorlig sårbarhet i eldre Cisco-rutere blir nå aktivt utnyttet for å bygge opp et globalt og ondsinnet botnett, advarer eksperter.
Sikkerhetsselskapet Sekoia har publisert en omfattende rapport om den kriminelle aktøren, som går under navnet ViciousTrap. Gruppen utnytter en sårbarhet kjent som CVE-2023-20118 til å angripe Cisco Small Business-rutere, blant annet modellene RV016, RV042, RV042G, RV082, RV320 og RV325.
Feilen ligger i ruternes nettbaserte administrasjonsgrensesnitt, hvor innkommende HTTP-forespørsler ikke valideres godt nok. Dette gjør det mulig for en autentisert bruker å kjøre vilkårlige kommandoer på enheten.
Dessverre har Cisco opplyst at det ikke vil bli utgitt noen sikkerhetsoppdatering, ettersom de berørte enhetene er foreldet og ikke lenger støttes, skriver WNE Security. Har du en av disse ruterne, bør du derfor være ekstra oppmerksom – og vurdere å bytte den ut med en nyere og tryggere modell.
Sårbarheten gjør det mulig for ViciousTrap å kjøre et shellscript kalt NetGhost, som ifølge Sekoia «videresender trafikk fra bestemte porter på den kompromitterte ruteren til en infrastruktur som minner om en honeypot, kontrollert av angriperne – noe som gir dem mulighet til å fange opp nettverkstrafikk.»
Så langt er nesten 5 300 enheter i 84 land rammet av botnettet. De fleste ofrene befinner seg i Macao, der hele 850 rutere skal være kompromittert.
Det er ikke første gang Sekoia advarer om sårbarheten CVE-2023-20118. Allerede i februar 2025 rapporterte TechRadar at Sekoia hadde avslørt et annet botnett, kalt PolarEdge, som benyttet samme sårbarhet for å angripe utstyr fra Cisco, ASUS, QNAP og Synology. Den gangen var rundt 2 000 enheter berørt.
Når det gjelder ViciousTrap, kommer samtlige angrep ifølge forskerne fra én enkelt IP-adresse. Angrepene startet i mars 2025. Det ble også avdekket at angriperne har gjenbrukt et tidligere udokumentert web shell som ble brukt i PolarEdge-angrepene.
Selv om det er vanskelig å fastslå med sikkerhet, mener Sekoia at det er sannsynlig at angriperne har tilknytning til Kina.
Kraftig prishopp på Telenor-e-post
Nye EU-regler: Alle skal ha det
Nå endres minibanken: nye regler
Alle gjør det – men dette er grunnen til at du ikke bør legge mobilen på bordet
Svindlere misbrukte DNB i storstilt aksjon: Aldri sett maken!
Siste sjanse: Fra 31. mai er bare disse fire pengesedlene tillatt
Den største strømtyven på kjøkkenet: Bruker tre ganger mer strøm enn et kjøleskap
Ser du en gul klut på en motorsykkel? Da bør du vite hva det betyr
Fra 30. juni er det slutt: Disse Android-telefonene får ikke lenger oppdateringer