آزمایشگاه FortiGuard به تازگی باتنت جدیدی با نام RustoBot را کشف کرد که از طریق دستگاههای TOTOLINK تکثیر میشود. برخلاف بدافزارهای پیشین که دستگاهها را هدف قرار میدادند، این نمونه با زبان برنامهنویسی Rust نوشته شده است.
در ماههای ژانویه و فوریه سال 2025، FortiGuard Labs افزایش چشمگیری در هشدارهای مرتبط با اکسپلویت از آسیبپذیریهای TOTOLINK ثبت کرد. بسیاری از آسیبپذیریهای مربوط به دستگاههای TOTOLINK از فایل cstecgi.cgi ناشی میشوند، اسکریپتی مبتنی بر CGI که وظایف مرتبط با پردازش ورودیهای کاربر، تغییرات پیکربندی، احراز هویت و فرمانهای مدیریتی را انجام میدهد. اسکریپت به طور مکرر دارای آسیبپذیریهایی از نوع تزریق فرمان بود که امکان اجرای کد از راه دور را برای نفوذگر فراهم میسازد. این آسیبپذیریها به شرح زیر هستند:
- آسیبپذیریهای تزریق فرمان در TOTOLINK.Devices.cstecgi: از شناسه CVE-2022-26186 تا CVE-2022-26210 با امتیاز 9.8
- آسیبپذیری تزریق فرمان در DrayTek.Routers.apmcfgupload: با شناسه CVE-2024-12987 و امتیاز 7.3
پلتفرمهای تحت تأثیر:
- TOTOLINK N600R V4.3.0cu.7570_B20200620. TOTOLINK A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128, and A810R V4.1.2cu.5182_B20201026. DrayTek Vigor2960 and Vigor300B 1.5.1.4.
https://www.fortinet.com/blog/threat-research/new-rust-botnet-rustobot-is-routed-via-routers
