Исследователи безопасности из команды Fortinet FortiGuard Labs рассказали о новом и пока ещё малоизвестном вирусе Condi, использующем уязвимость в роутерах TP-Link Archer AX21 (AX1800) для заражения как можно большего количества устройств построения ботнета для совершения DDoS-атак.
Компания по распространению вируса и создания ботнетов длится с конца мая 2023 года, автором зловреда является некий zxcr9999, который продаёт свой продукт в Telegram. Condi может завершать процессы других ботнетов на одном хосте, но при этом вирус и сам уязвим — его можно «убить» с помощью обычной перегрузки устройства.
Для защиты разработчик вредоноса использует уязвимость в роутерах TP-Link Archer AX21 (AX1800) маркированной как CVE-2023-1389 и получившей 8,8 балла по шкале CVSS. Вирус удаляет бинарные файлы перезагрузки, что лишает роутер этого функционала, а также возможности выключения системы.
Кроме того, ботнет блокирует модуль сканера, проверяющий TP-Link Archer AX21 на предмет уязвимостей.