Säkerhet
Hackare har tagit över över 5 000 routrar – se om din finns med på listan
En hackergrupp har lyckats ta kontroll över mer än 5 000 routrar, som nu används i illasinnade syften. Här kan du se om din router är i riskzonen.
En allvarlig sårbarhet i äldre Cisco-routrar utnyttjas just nu för att bygga upp ett globalt och skadligt botnätverk, varnar experter.
Cybersäkerhetsföretaget Sekoia har publicerat en djupgående rapport om den illasinnade aktören bakom attackerna – en grupp som fått namnet ViciousTrap. Gruppen utnyttjar en sårbarhet kallad CVE-2023-20118 för att angripa Cisco Small Business-routrar, däribland modellerna RV016, RV042, RV042G, RV082, RV320 och RV325.
Felet ligger i routrarnas webbaserade administrationsgränssnitt, där otillräcklig validering av användarinmatning i inkommande HTTP-förfrågningar gör det möjligt för en autentiserad användare att köra godtycklig kod på enheten.
Tyvärr har Cisco meddelat att ingen säkerhetsuppdatering kommer att släppas, eftersom de drabbade enheterna är föråldrade och inte längre stöds, rapporterar WNE Security. Har du en av dessa routrar bör du därför vara extra uppmärksam – och överväga att ersätta den med en ny och säker enhet.
Läs också: Bilister häpnar över funktion som finns i alla bilar – så sparar du pengar på bensin
Sårbarheten har gjort det möjligt för ViciousTrap att köra ett shellscript vid namn NetGhost, som enligt Sekoia "vidarebefordrar trafik från specifika portar på den infekterade routern till en infrastruktur liknande en honeypot, kontrollerad av angriparna – vilket gör det möjligt att avlyssna nätverkstrafik."
Hittills har närmare 5 300 enheter i 84 länder infekterats. Flest drabbade finns i Macao, där 850 enheter har identifierats.
Det är inte första gången Sekoia varnar för CVE-2023-20118. Redan i februari 2025 rapporterade TechRadar om ett annat botnät kallat PolarEdge, som utnyttjade samma sårbarhet för att angripa enheter från Cisco, ASUS, QNAP och Synology. Då handlade det om cirka 2 000 drabbade enheter.
När det gäller ViciousTrap visar Sekoias analys att samtliga angrepp hittills har utgått från en och samma IP-adress. Attackerna påbörjades i mars 2025. Det framkom även att angriparna återanvände ett tidigare odokumenterat webbshell som använts i PolarEdge-attackerna.
Läs också: Gmail-användare bör förbereda sig på det värsta om Elon Musks plan blir verklighet
Även om det är svårt att slå fast med säkerhet, misstänker Sekoia att angriparna med stor sannolikhet har kopplingar till Kina.
Läs också: Dina gamla Disneyfilmer kan vara guld värda – kan säljas för över 150 000 kronor
Flera äldre Mac-modeller kan förlora stöd i kommande macOS 26
Din e-post kan skydda dig mot bedrägeri: om du använder dessa funktioner
Kör du en äldre bil: här är felen som kan göra den livsfarlig
Tråkiga nyheter för många Tesla-ägare: Nästan var fjärde bil drabbad
