Verschiedene Botnets schlagen bei IoT-Angriffen auf einen ein Jahr alten TP-Link-Fehler zu

Eine Reihe von Botnets nutzen eine fast ein Jahr alte Command-Injection-Schwachstelle in einem TP-Link-Router aus, um die Geräte für IoT-gesteuerte DDoS-Angriffe (Distributed Denial of Service) zu gefährden.

Es gibt bereits einen Patch für den Fehler, der als verfolgt wird CVE-2023-1389, gefunden in der Webverwaltungsoberfläche des WLAN-Routers TP-Link Archer AX21 (AX1800) und betrifft Geräte der Version 1.1.4 Build 20230219 oder früher.

Allerdings nutzen Bedrohungsakteure nicht gepatchte Geräte aus, um verschiedene Botnetze auszulösen – darunter Moobot, Miori, AGoent usw Gafgyt-Variante, und Varianten des berüchtigten Mirai-Botnetzes – das die Geräte für DDoS und weitere schändliche Aktivitäten gefährden kann, heißt es a blog post von Fortiguard Labs Threat Research.

„Vor kurzem haben wir mehrere Angriffe beobachtet, die sich auf diese ein Jahr alte Schwachstelle konzentrierten“, die bereits zuvor von der in ausgenutzt wurde Mirai-Botnetz, so der Beitrag der Fortiguard-Forscher Cara Lin und Vincent Li. Die IPS-Telemetrie von Fortiguard habe erhebliche Verkehrsspitzen festgestellt, was die Forscher auf die böswillige Aktivität aufmerksam machte, sagten sie.

Ausnutzung des TP-Link-Fehlers

Der Fehler schafft ein Szenario, in dem das Feld „Land“ der Verwaltungsschnittstelle des Routers nicht bereinigt wird, „so dass ein Angreifer es für böswillige Aktivitäten ausnutzen und Fuß fassen kann“, so TP-Link Sicherheitsberatung für den Fehler.

„Dies ist eine nicht authentifizierte Schwachstelle durch Befehlsinjektion in der ‚Locale‘-API, die über die Webverwaltungsschnittstelle verfügbar ist“, erklärten Lin und Li.

Um es auszunutzen, können Benutzer die angegebene Form „Land“ abfragen und einen „Schreib“-Vorgang durchführen, der von der Funktion „set_country“ verarbeitet wird, erklärten die Forscher. Diese Funktion ruft die Funktion „merge_config_by_country“ auf und verkettet das Argument der angegebenen Form „Land“ in einer Befehlszeichenfolge. Dieser String wird dann von der Funktion „popen“ ausgeführt.

„Da das Feld ‚Land‘ nicht geleert wird, kann der Angreifer eine Befehlsinjektion durchführen“, schreiben die Forscher.

Botnetze zur Belagerung

Als TP-Link letztes Jahr den Fehler aufdeckte, räumte TP-Link unter anderem auch die Ausnutzung durch das Mirai-Botnet ein. Seitdem haben jedoch auch andere Botnetze sowie verschiedene Mirai-Varianten anfällige Geräte angegriffen.

Einer davon ist Agoent, ein Golang-basierter Agent-Bot, der angreift, indem er zunächst die Skriptdatei „exec.sh“ von einer vom Angreifer kontrollierten Website abruft, die dann die ELF-Dateien (Executable and Linkable Format) verschiedener Linux-basierter Architekturen abruft.

Der Bot führt dann zwei Hauptverhalten aus: Das erste besteht darin, den Host-Benutzernamen und das Passwort aus zufälligen Zeichen zu erstellen, und das zweite darin, eine Verbindung mit Command and Control (C2) herzustellen, um die gerade von der Malware erstellten Anmeldeinformationen zur Geräteübernahme weiterzugeben. sagten die Forscher.

Ein Botnetz namens Gafgyt, das Denial-of-Service (DoS) in Linux-Architekturen erzeugt, greift ebenfalls die TP-Link-Schwachstelle an, indem es eine Skriptdatei herunterlädt und ausführt und dann Ausführungsdateien für die Linux-Architektur mit dem Präfix-Dateinamen „Rebirth“ abruft. Das Botnetz erhält dann die kompromittierten Ziel-IP- und Architekturinformationen, die es zu einer Zeichenfolge verkettet, die Teil seiner ersten Verbindungsnachricht ist, erklärten die Forscher.

„Nachdem die Malware eine Verbindung mit ihrem C2-Server hergestellt hat, erhält sie einen kontinuierlichen ‚PING‘-Befehl vom Server, um sicherzustellen, dass sie auf dem gefährdeten Ziel verbleibt“, schreiben die Forscher. Anschließend wartet es auf verschiedene C2-Befehle, um DoS-Angriffe zu starten.

Das Botnetz namens Moobot greift auch die Schwachstelle an, DDoS-Angriffe auf Remote-IPs über einen Befehl vom C2-Server des Angreifers durchzuführen, sagten die Forscher. Während das Botnetz auf verschiedene IoT-Hardwarearchitekturen abzielt, analysierten Fortiguard-Forscher die Ausführungsdatei des Botnetzes, die für die „x86_64“-Architektur entwickelt wurde, um seine Ausnutzungsaktivität zu bestimmen, sagten sie.

A Variante von Mirai Die Forscher stellten fest, dass das Unternehmen bei der Ausnutzung der Schwachstelle auch DDoS-Angriffe durchführt, indem es ein Paket vom C&C-Server sendet, um den Endpunkt anzuweisen, den Angriff zu starten.

„Der angegebene Befehl ist 0x01 für eine Valve Source Engine (VSE)-Flut mit einer Dauer von 60 Sekunden (0x3C), die auf die IP-Adresse eines zufällig ausgewählten Opfers und die Portnummer 30129 abzielt“, erklärten sie.

Miori, eine weitere Mirai-Variante, habe sich ebenfalls dem Kampf angeschlossen, um Brute-Force-Angriffe auf kompromittierte Geräte durchzuführen, stellten die Forscher fest. Und sie beobachteten auch Angriffe von Condi, die mit einer Version des Botnets übereinstimmen, die letztes Jahr aktiv war.

Der Angriff behält die Funktion bei, Neustarts zu verhindern, indem er Binärdateien löscht, die für das Herunterfahren oder Neustarten des Systems verantwortlich sind, und scannt aktive Prozesse und Querverweise mit vordefinierten Zeichenfolgen, um Prozesse mit übereinstimmenden Namen zu beenden, so die Forscher.

Patch & Protect zur Vermeidung von DDoS

„Botnet-Angriffe, die Gerätefehler ausnutzen, um IoT-Umgebungen anzugreifen, sind „unerbittlich“, und daher sollten Benutzer vor DDoS-Botnets wachsam sein“, stellten die Forscher fest. Tatsächlich treiben IoT-Gegner ihre Angriffe voran sich auf ungepatchte Gerätefehler stürzen um ihre ausgeklügelten Angriffspläne voranzutreiben.

Angriffe auf TP-Link-Geräte können abgemildert werden, indem der verfügbare Patch auf betroffene Geräte angewendet wird. Diese Vorgehensweise sollte auch für alle anderen IoT-Geräte befolgt werden, „um ihre Netzwerkumgebungen vor Infektionen zu schützen und zu verhindern, dass sie zu Bots für böswillige Bedrohungsakteure werden“, heißt es in der Mitteilung Forscher schrieben.

Fortiguard hat in seinem Beitrag auch verschiedene Kompromittierungsindikatoren (IoCs) für die verschiedenen Botnet-Angriffe aufgeführt, darunter C2-Server, URLs und Dateien, die Serveradministratoren bei der Identifizierung eines Angriffs helfen können.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks

Generative Datenintelligenz

Verschiedene Botnets schlagen bei IoT-Angriffen auf einen seit Jahren bestehenden TP-Link-Fehler zu

Ausnutzung des TP-Link-Fehlers

Botnetze zur Belagerung

Patch & Protect zur Vermeidung von DDoS

VC-Café

VC-Café

Neueste Intelligenz

SES mit Sitz in Paris kauft Intelsat für 3.1 Milliarden US-Dollar im Zuge der Konsolidierung europäischer Satellitenunternehmen – Tech Startups

Das Ende der Plastikverschmutzung: Wie Unternehmen die Kreislaufwirtschaft umsetzen können | GreenBiz

Das Ende der Plastikverschmutzung: Wie Unternehmen die Kreislaufwirtschaft umsetzen können | GreenBiz

Das Ende der Plastikverschmutzung: Wie Unternehmen die Kreislaufwirtschaft umsetzen können | GreenBiz

Das Ende der Plastikverschmutzung: Wie Unternehmen die Kreislaufwirtschaft umsetzen können | GreenBiz

Das Ende der Plastikverschmutzung: Wie Unternehmen die Kreislaufwirtschaft umsetzen können | GreenBiz