يقوم عدد من شبكات الروبوت بضرب ثغرة أمنية عمرها عام تقريبًا في حقن الأوامر في أجهزة توجيه TP-Link لاختراق الأجهزة لهجمات رفض الخدمة الموزعة (DDoS) التي تعتمد على إنترنت الأشياء.
يوجد بالفعل تصحيح للخلل، ويتم تتبعه كـ CVE-2023-1389، الموجود في واجهة إدارة الويب لجهاز توجيه Wi-Fi TP-Link Archer AX21 (AX1800) والأجهزة المؤثرة الإصدار 1.1.4 الإصدار 20230219 أو ما قبله.
ومع ذلك، تستغل الجهات الفاعلة في مجال التهديد الأجهزة غير المصححة لإرسال شبكات الروبوتات المختلفة، بما في ذلك Moobot وMiori وAGoent و البديل جافجيت، ومتغيرات شبكة الروبوتات Mirai سيئة السمعة - التي يمكن أن تعرض الأجهزة لخطر DDoS والمزيد من الأنشطة الشائنة، وفقًا لـ لبلوق وظيفة من مختبرات Fortiguard Labs لأبحاث التهديدات.
"في الآونة الأخيرة، لاحظنا هجمات متعددة تركز على هذه الثغرة الأمنية الموجودة منذ عام، والتي تم استغلالها بالفعل من قبل في ميراي بوتنتوفقًا لما نشره الباحثون في Fortiguard، كارا لين وفنسنت لي. وقالوا إن قياس Fortiguard's IPS عن بعد اكتشف ذروات كبيرة في حركة المرور، مما نبه الباحثين إلى النشاط الضار.
استغلال ثغرة TP-Link
يخلق الخلل سيناريو لا يوجد فيه تطهير لحقل "البلد" في واجهة إدارة جهاز التوجيه، "وبالتالي يمكن للمهاجم استغلاله للقيام بأنشطة ضارة والحصول على موطئ قدم"، وفقًا لما ذكرته شركة TP-Link. الاستشارات الأمنية للخلل.
وأوضح لين ولي: "هذه ثغرة أمنية غير مصادق عليها في حقن الأوامر في واجهة برمجة التطبيقات "اللغة المحلية" المتوفرة عبر واجهة إدارة الويب".
وأوضح الباحثون أنه لاستغلالها، يمكن للمستخدمين الاستعلام عن النموذج المحدد "بلد" وإجراء عملية "كتابة"، والتي تتم معالجتها بواسطة وظيفة "set_country". تستدعي هذه الوظيفة وظيفة "merge_config_by_country" وتقوم بتسلسل وسيطة النموذج المحدد "country" في سلسلة أوامر. يتم بعد ذلك تنفيذ هذه السلسلة بواسطة وظيفة "الفتح".
وكتب الباحثون: "بما أن حقل "البلد" لن يتم إفراغه، فيمكن للمهاجم تنفيذ حقن الأوامر".
الروبوتات للحصار
وتضمنت نصيحة TP-Link عندما تم الكشف عن الخلل في العام الماضي الاعتراف بالاستغلال من قبل شبكة الروبوتات Mirai. ولكن منذ ذلك الحين، فرضت شبكات الروبوت الأخرى بالإضافة إلى متغيرات Mirai المختلفة حصارًا على الأجهزة الضعيفة.
أحدهما هو Agoent، وهو روبوت وكيل قائم على Golang يقوم بالهجوم عن طريق جلب ملف البرنامج النصي "exec.sh" أولاً من موقع ويب يتحكم فيه المهاجم، والذي يقوم بعد ذلك باسترداد ملفات التنسيق القابل للتنفيذ والربط (ELF) لمختلف البنيات المستندة إلى Linux.
يقوم الروبوت بعد ذلك بتنفيذ سلوكين أساسيين: الأول هو إنشاء اسم المستخدم وكلمة المرور للمضيف باستخدام أحرف عشوائية، والثاني هو إنشاء اتصال مع القيادة والتحكم (C2) لتمرير بيانات الاعتماد التي أنشأتها البرامج الضارة للتو للاستيلاء على الجهاز. قال الباحثون.
تقوم شبكة الروبوتات التي تؤدي إلى رفض الخدمة (DoS) في بنيات Linux والتي تسمى متغير Gafgyt أيضًا بمهاجمة ثغرة TP-Link عن طريق تنزيل ملف نصي وتنفيذه ثم استرداد ملفات تنفيذ بنية Linux باستخدام اسم الملف البادئة "rebirth". وأوضح الباحثون أن شبكة الروبوتات تحصل بعد ذلك على معلومات عنوان IP والبنية المستهدفة المخترقة، والتي تقوم بتسلسلها في سلسلة تشكل جزءًا من رسالة الاتصال الأولية الخاصة بها.
وكتب الباحثون: "بعد إنشاء اتصال بخادم C2 الخاص به، تتلقى البرامج الضارة أمر "PING" مستمرًا من الخادم لضمان استمرارية الاتصال بالهدف المخترق". ثم ينتظر أوامر C2 المختلفة لإنشاء هجمات DoS.
وقال الباحثون إن شبكة الروبوتات المسماة Moobot تهاجم أيضًا الخلل لإجراء هجمات DDoS على عناوين IP البعيدة عبر أمر من خادم C2 الخاص بالمهاجم. وبينما تستهدف شبكة الروبوتات مختلف بنيات أجهزة إنترنت الأشياء، قام باحثو Fortiguard بتحليل ملف تنفيذ شبكة الروبوتات المصمم لبنية "x86_64" لتحديد نشاط الاستغلال، على حد قولهم.
A البديل ميراي وأشار الباحثون إلى أن الشركة تقوم أيضًا بتنفيذ هجمات DDoS لاستغلال الخلل عن طريق إرسال حزمة من خادم القيادة والسيطرة لتوجيه نقطة النهاية لبدء الهجوم.
وأوضحوا أن "الأمر المحدد هو 0x01 لفيضان محرك مصدر الصمام (VSE)، لمدة 60 ثانية (0x3C)، مستهدفًا عنوان IP الخاص بالضحية الذي تم اختياره عشوائيًا ورقم المنفذ 30129".
وأشار الباحثون إلى أن ميوري، وهو متغير آخر من نوع ميراي، انضم أيضًا إلى المعركة للقيام بهجمات القوة الغاشمة على الأجهزة المخترقة. كما لاحظوا أيضًا هجمات كوندي التي لا تزال متسقة مع نسخة من شبكة الروبوتات التي كانت نشطة العام الماضي.
وقال الباحثون إن الهجوم يحتفظ بوظيفة منع إعادة التشغيل عن طريق حذف الثنائيات المسؤولة عن إيقاف تشغيل النظام أو إعادة تشغيله، ويفحص العمليات النشطة والمراجع التبادلية بسلاسل محددة مسبقًا لإنهاء العمليات ذات الأسماء المطابقة.
التصحيح والحماية لتجنب DDoS
وأشار الباحثون إلى أن هجمات الروبوتات التي تستغل عيوب الأجهزة لاستهداف بيئات إنترنت الأشياء "بلا هوادة"، وبالتالي يجب على المستخدمين توخي الحذر ضد شبكات الروبوتات DDoS. في الواقع، يتقدم خصوم إنترنت الأشياء في هجماتهم من خلال الانقضاض على عيوب الجهاز غير المصححة لتعزيز أجنداتهم الهجومية المتطورة.
يمكن التخفيف من الهجمات ضد أجهزة TP-Link من خلال تطبيق التصحيح المتاح للأجهزة المتأثرة، وينبغي اتباع هذه الممارسة لأي أجهزة إنترنت أشياء أخرى "لحماية بيئات شبكتها من العدوى، ومنعها من أن تصبح روبوتات لممثلي التهديدات الخبيثة"، كتب الباحثون.
أدرجت Fortiguard أيضًا في منشورها مؤشرات مختلفة للاختراق (IoCs) لهجمات الروبوتات المختلفة، بما في ذلك خوادم C2 وعناوين URL والملفات التي يمكن أن تساعد مسؤولي الخادم في تحديد الهجوم.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
