IoT-চালিত ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস (DDoS) আক্রমণের জন্য ডিভাইসগুলির সাথে আপস করার জন্য একটি TP-Link রাউটারে অনেকগুলি বটনেট প্রায় বছরের পুরনো কমান্ড-ইঞ্জেকশন দুর্বলতাকে ধাক্কা দিচ্ছে৷

ইতিমধ্যে ত্রুটির জন্য একটি প্যাচ আছে, হিসাবে ট্র্যাক জন্য CVE-2023-1389, TP-Link Archer AX21 (AX1800) Wi-Fi রাউটারের ওয়েব ম্যানেজমেন্ট ইন্টারফেসে পাওয়া যায় এবং ডিভাইসগুলিকে প্রভাবিত করে সংস্করণ 1.1.4 বিল্ড 20230219 বা তার আগে।

যাইহোক, হুমকি অভিনেতারা বিভিন্ন বটনেট প্রেরণের জন্য আনপ্যাচড ডিভাইসগুলির সুবিধা নিচ্ছে - যার মধ্যে রয়েছে মুবোট, মিওরি, এগোয়েন্ট, একটি Gafgyt বৈকল্পিক, এবং কুখ্যাত মিরাই বটনেটের রূপগুলি - যা DDoS এবং আরও খারাপ কার্যকলাপের জন্য ডিভাইসগুলির সাথে আপস করতে পারে, অনুযায়ী একটি ব্লগ পোস্ট Fortiguard ল্যাবস হুমকি গবেষণা থেকে.

"সম্প্রতি, আমরা এই বছরের পুরানো দুর্বলতার উপর দৃষ্টি নিবদ্ধ করে একাধিক আক্রমণ লক্ষ্য করেছি," যা ইতিমধ্যেই এর দ্বারা শোষিত হয়েছিল মিরাই বোটনেট, Fortiguard গবেষক কারা লিন এবং ভিনসেন্ট লি দ্বারা পোস্ট অনুযায়ী. Fortiguard এর IPS টেলিমেট্রি উল্লেখযোগ্য ট্র্যাফিক পিক সনাক্ত করেছে, যা গবেষকদের দূষিত কার্যকলাপ সম্পর্কে সতর্ক করেছে, তারা বলেছে।

TP-লিংক ত্রুটি শোষণ

ত্রুটিটি এমন একটি পরিস্থিতি তৈরি করে যেখানে রাউটারের ম্যানেজমেন্ট ইন্টারফেসের "দেশ" ক্ষেত্রের কোনও স্যানিটাইজেশন নেই, "তাই একজন আক্রমণকারী দূষিত কার্যকলাপের জন্য এটিকে কাজে লাগাতে পারে এবং TP-Link এর মতে, " নিরাপত্তা অ্যাডভাইসারির ত্রুটির জন্য

"এটি ওয়েব ম্যানেজমেন্ট ইন্টারফেসের মাধ্যমে উপলব্ধ 'লোকেল' API-এ একটি অননুমোদিত কমান্ড-ইনজেকশন দুর্বলতা," লিন এবং লি ব্যাখ্যা করেছেন।

এটিকে কাজে লাগানোর জন্য, ব্যবহারকারীরা নির্দিষ্ট ফর্ম "দেশ" জিজ্ঞাসা করতে পারে এবং একটি "লিখন" অপারেশন পরিচালনা করতে পারে, যা "set_country" ফাংশন দ্বারা পরিচালিত হয়, গবেষকরা ব্যাখ্যা করেছেন। এই ফাংশনটি "merge_config_by_country" ফাংশনকে কল করে এবং নির্দিষ্ট ফর্ম "দেশ" এর আর্গুমেন্টকে একটি কমান্ড স্ট্রিংয়ে সংযুক্ত করে। এই স্ট্রিং তারপর "popen" ফাংশন দ্বারা নির্বাহ করা হয়.

"যেহেতু 'দেশ' ক্ষেত্রটি খালি করা হবে না, আক্রমণকারী কমান্ড ইনজেকশন অর্জন করতে পারে," গবেষকরা লিখেছেন।

বটনেটস টু দ্য সিজ

TP-Link-এর পরামর্শে গত বছর যখন ত্রুটিটি প্রকাশ করা হয়েছিল তখন মিরাই বটনেট দ্বারা শোষণের স্বীকৃতি অন্তর্ভুক্ত ছিল। কিন্তু তারপর থেকে অন্যান্য বটনেটের পাশাপাশি বিভিন্ন মিরাই ভেরিয়েন্টগুলিও দুর্বল ডিভাইসগুলির বিরুদ্ধে অবরোধ করেছে।

একটি হল Agoent, একটি গোলং-ভিত্তিক এজেন্ট বট যা আক্রমণকারী-নিয়ন্ত্রিত ওয়েবসাইট থেকে প্রথমে স্ক্রিপ্ট ফাইল "exec.sh" আনয়ন করে আক্রমণ করে, যা পরে বিভিন্ন লিনাক্স-ভিত্তিক আর্কিটেকচারের এক্সিকিউটেবল এবং লিঙ্কযোগ্য ফর্ম্যাট (ELF) ফাইলগুলি পুনরুদ্ধার করে।

বট তারপরে দুটি প্রাথমিক আচরণ চালায়: প্রথমটি হল র্যান্ডম অক্ষর ব্যবহার করে হোস্ট ব্যবহারকারীর নাম এবং পাসওয়ার্ড তৈরি করা, এবং দ্বিতীয়টি হল ডিভাইস টেকওভারের জন্য ম্যালওয়্যার দ্বারা তৈরি শংসাপত্রগুলি পাস করার জন্য কমান্ড এবং নিয়ন্ত্রণ (C2) এর সাথে সংযোগ স্থাপন করা, গবেষকরা বলেছেন।

একটি বটনেট যা লিনাক্স আর্কিটেকচারে পরিষেবা অস্বীকার (DoS) তৈরি করে যাকে বলা হয় Gafgyt ভেরিয়েন্ট এছাড়াও একটি স্ক্রিপ্ট ফাইল ডাউনলোড এবং এক্সিকিউট করে এবং তারপর "পুনর্জন্ম" উপসর্গ সহ লিনাক্স আর্কিটেকচার এক্সিকিউশন ফাইলগুলি পুনরুদ্ধার করে TP-Link ত্রুটিকে আক্রমণ করছে। বটনেট তখন আপোসকৃত টার্গেট আইপি এবং আর্কিটেকচার তথ্য পায়, যা এটি একটি স্ট্রিংয়ে সংযুক্ত করে যা তার প্রাথমিক সংযোগ বার্তার অংশ, গবেষকরা ব্যাখ্যা করেছেন।

"তার C2 সার্ভারের সাথে একটি সংযোগ স্থাপন করার পরে, ম্যালওয়্যারটি আপোসকৃত লক্ষ্যে অবিচলতা নিশ্চিত করতে সার্ভার থেকে একটি অবিচ্ছিন্ন 'PING' কমান্ড পায়," গবেষকরা লিখেছেন। এটি তারপর DoS আক্রমণ তৈরি করার জন্য বিভিন্ন C2 কমান্ডের জন্য অপেক্ষা করে।

মুবোট নামক বটনেট আক্রমণকারীর C2 সার্ভার থেকে একটি কমান্ডের মাধ্যমে দূরবর্তী আইপিগুলিতে DDoS আক্রমণ পরিচালনা করার ত্রুটিটিকেও আক্রমণ করছে, গবেষকরা বলেছেন। যদিও বটনেট বিভিন্ন IoT হার্ডওয়্যার আর্কিটেকচারকে লক্ষ্য করে, ফোর্টগার্ড গবেষকরা এর শোষণ কার্যকলাপ নির্ধারণের জন্য "x86_64" আর্কিটেকচারের জন্য ডিজাইন করা বটনেটের এক্সিকিউশন ফাইল বিশ্লেষণ করেছেন, তারা বলেছে।

A Mirai এর রূপ এছাড়াও C&C সার্ভার থেকে একটি প্যাকেট পাঠানোর মাধ্যমে ত্রুটির শোষণে DDoS আক্রমণ পরিচালনা করছে আক্রমণ শুরু করার জন্য শেষ বিন্দুকে নির্দেশ করার জন্য, গবেষকরা উল্লেখ করেছেন।

"নির্দিষ্ট কমান্ড হল একটি ভালভ সোর্স ইঞ্জিন (VSE) বন্যার জন্য 0x01, যার সময়কাল 60 সেকেন্ড (0x3C), এলোমেলোভাবে নির্বাচিত শিকারের আইপি ঠিকানা এবং পোর্ট নম্বর 30129 কে লক্ষ্য করে," তারা ব্যাখ্যা করেছে৷

মিওরি, আরেকটি মিরাই বৈকল্পিক, আপোসকৃত ডিভাইসগুলিতে নৃশংস-শক্তি আক্রমণ পরিচালনার জন্যও যোগ দিয়েছে, গবেষকরা উল্লেখ করেছেন। এবং তারা কন্ডির আক্রমণগুলিও পর্যবেক্ষণ করেছে যা গত বছর সক্রিয় ছিল বটনেটের একটি সংস্করণের সাথে সামঞ্জস্যপূর্ণ।

আক্রমণটি সিস্টেমটিকে শাট ডাউন বা রিবুট করার জন্য দায়ী বাইনারিগুলি মুছে দিয়ে রিবুট প্রতিরোধ করার ফাংশন ধরে রাখে এবং মিলিত নামের সাথে প্রক্রিয়াগুলি বন্ধ করতে পূর্বনির্ধারিত স্ট্রিং সহ সক্রিয় প্রক্রিয়া এবং ক্রস-রেফারেন্স স্ক্যান করে, গবেষকরা বলেছেন।

DDoS এড়াতে প্যাচ এবং সুরক্ষা করুন

IoT পরিবেশকে লক্ষ্য করার জন্য ডিভাইসের ত্রুটিগুলিকে কাজে লাগিয়ে বটনেট আক্রমণগুলি "নিরলস" এবং এইভাবে ব্যবহারকারীদের DDoS বটনেটের বিরুদ্ধে সতর্ক থাকা উচিত, "গবেষকরা উল্লেখ করেছেন। প্রকৃতপক্ষে, আইওটি প্রতিপক্ষরা তাদের আক্রমণকে অগ্রসর করছে আনপ্যাচড ডিভাইস ত্রুটির উপর pouncing তাদের অত্যাধুনিক আক্রমণের এজেন্ডাকে এগিয়ে নিতে।

TP-Link ডিভাইসগুলির বিরুদ্ধে আক্রমণগুলি প্রভাবিত ডিভাইসগুলির জন্য উপলব্ধ প্যাচ প্রয়োগ করে প্রশমিত করা যেতে পারে, এবং এই অভ্যাসটি অন্য যেকোন IoT ডিভাইসের জন্য অনুসরণ করা উচিত "তাদের নেটওয়ার্ক পরিবেশকে সংক্রমণ থেকে রক্ষা করার জন্য, তাদের ক্ষতিকারক হুমকি অভিনেতাদের জন্য বট হতে বাধা দিতে"। গবেষকরা লিখেছেন।

Fortiguard তার পোস্টে বিভিন্ন বটনেট আক্রমণের জন্য আপস-এর বিভিন্ন সূচক (IoCs) অন্তর্ভুক্ত করেছে, যার মধ্যে C2 সার্ভার, URL এবং ফাইল রয়েছে যা সার্ভার অ্যাডমিনিস্ট্রেটরদের আক্রমণ শনাক্ত করতে সাহায্য করতে পারে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks