Ορισμένα botnet πλήττουν μια ευπάθεια έγχυσης εντολών σχεδόν ενός έτους σε δρομολογητές TP-Link για να υπονομεύσουν τις συσκευές για επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS) που βασίζονται στο IoT.
Υπάρχει ήδη μια ενημέρωση κώδικα για το ελάττωμα, η οποία παρακολουθείται ως CVE-2023-1389, που βρίσκεται στη διεπαφή διαχείρισης Ιστού του δρομολογητή Wi-Fi TP-Link Archer AX21 (AX1800) και επηρεαζόμενες συσκευές Έκδοση 1.1.4 Έκδοση 20230219 ή προγενέστερη.
Ωστόσο, οι φορείς απειλών εκμεταλλεύονται τις μη επιδιορθωμένες συσκευές για την αποστολή διαφόρων δικτύων botnet — όπως οι Moobot, Miori, AGoent, Παραλλαγή Gafgyt, και παραλλαγές του διαβόητου Mirai botnet — που μπορεί να θέσει σε κίνδυνο τις συσκευές για DDoS και περαιτέρω κακόβουλη δραστηριότητα, σύμφωνα με ένα blog post από την Fortiguard Labs Threat Research.
«Πρόσφατα, παρατηρήσαμε πολλαπλές επιθέσεις που εστιάζονται σε αυτήν την παλιά ευπάθεια», η οποία είχε ήδη εκμεταλλευτεί στο παρελθόν Μιτάι μπουτάνι, σύμφωνα με την ανάρτηση των ερευνητών της Fortiguard Cara Lin και Vincent Li. Η τηλεμετρία IPS της Fortiguard έχει εντοπίσει σημαντικές κορυφές κυκλοφορίας, οι οποίες ειδοποίησαν τους ερευνητές για την κακόβουλη δραστηριότητα, είπαν.
Εκμετάλλευση του ελαττώματος TP-Link
Το ελάττωμα δημιουργεί ένα σενάριο στο οποίο δεν υπάρχει εξυγίανση του πεδίου «Χώρα» της διεπαφής διαχείρισης του δρομολογητή, «έτσι ένας εισβολέας μπορεί να το εκμεταλλευτεί για κακόβουλες δραστηριότητες και να αποκτήσει έδαφος», σύμφωνα με την TP-Link σύμβουλο ασφάλειας για το ελάττωμα.
"Πρόκειται για μια ευπάθεια εισαγωγής εντολών χωρίς έλεγχο ταυτότητας στο "τοπικό" API που διατίθεται μέσω της διεπαφής διαχείρισης ιστού", εξήγησαν οι Lin και Li.
Για να το εκμεταλλευτούν, οι χρήστες μπορούν να ρωτήσουν την καθορισμένη φόρμα "χώρα" και να πραγματοποιήσουν μια λειτουργία "εγγραφής", την οποία χειρίζεται η συνάρτηση "set_country", εξήγησαν οι ερευνητές. Αυτή η συνάρτηση καλεί τη συνάρτηση "merge_config_by_country" και συνενώνει το όρισμα της καθορισμένης μορφής "country" σε μια συμβολοσειρά εντολών. Στη συνέχεια, αυτή η συμβολοσειρά εκτελείται από τη συνάρτηση «ανοίγω».
«Δεδομένου ότι το πεδίο «χώρα» δεν θα αδειάσει, ο εισβολέας μπορεί να επιτύχει την έγχυση εντολών», έγραψαν οι ερευνητές.
Botnets στο Siege
Η συμβουλή της TP-Link όταν αποκαλύφθηκε το ελάττωμα πέρυσι περιελάμβανε την αναγνώριση της εκμετάλλευσης από το botnet Mirai. Αλλά από τότε άλλα botnets καθώς και διάφορες παραλλαγές του Mirai έχουν επίσης πολιορκήσει τις ευάλωτες συσκευές.
Το ένα είναι το Agoent, ένα bot πράκτορα που βασίζεται στο Golang που επιτίθεται λαμβάνοντας πρώτα το αρχείο σεναρίου "exec.sh" από έναν ιστότοπο που ελέγχεται από εισβολείς, ο οποίος στη συνέχεια ανακτά τα αρχεία εκτελέσιμης και συνδεόμενης μορφής (ELF) διαφορετικών αρχιτεκτονικών που βασίζονται σε Linux.
Στη συνέχεια, το bot εκτελεί δύο κύριες συμπεριφορές: η πρώτη είναι να δημιουργήσει το όνομα χρήστη και τον κωδικό πρόσβασης του κεντρικού υπολογιστή χρησιμοποιώντας τυχαίους χαρακτήρες και η δεύτερη να δημιουργήσει σύνδεση με την εντολή και τον έλεγχο (C2) για να μεταβιβάσει τα διαπιστευτήρια που μόλις δημιουργήθηκαν από το κακόβουλο λογισμικό για την κατάληψη συσκευής. είπαν οι ερευνητές.
Ένα botnet που δημιουργεί άρνηση υπηρεσίας (DoS) σε αρχιτεκτονικές Linux που ονομάζεται παραλλαγή Gafgyt επιτίθεται επίσης στο ελάττωμα του TP-Link κατεβάζοντας και εκτελώντας ένα αρχείο σεναρίου και στη συνέχεια ανακτώντας αρχεία εκτέλεσης αρχιτεκτονικής Linux με το όνομα αρχείου του προθέματος "rebirth". Στη συνέχεια, το botnet λαμβάνει την παραβιασμένη IP-στόχο και πληροφορίες αρχιτεκτονικής, τις οποίες ενώνει σε μια συμβολοσειρά που αποτελεί μέρος του αρχικού μηνύματος σύνδεσής του, εξήγησαν οι ερευνητές.
«Μετά τη δημιουργία μιας σύνδεσης με τον διακομιστή C2, το κακόβουλο λογισμικό λαμβάνει μια συνεχή εντολή «PING» από τον διακομιστή για να διασφαλίσει την επιμονή στον παραβιασμένο στόχο», έγραψαν οι ερευνητές. Στη συνέχεια, περιμένει διάφορες εντολές C2 για να δημιουργήσει επιθέσεις DoS.
Το botnet που ονομάζεται Moobot επίσης επιτίθεται στο ελάττωμα για τη διεξαγωγή επιθέσεων DDoS σε απομακρυσμένες IP μέσω εντολής από τον διακομιστή C2 του εισβολέα, είπαν οι ερευνητές. Ενώ το botnet στοχεύει διάφορες αρχιτεκτονικές υλικού IoT, οι ερευνητές της Fortiguard ανέλυσαν το αρχείο εκτέλεσης του botnet που σχεδιάστηκε για την αρχιτεκτονική «x86_64» για να προσδιορίσουν τη δραστηριότητα εκμετάλλευσης του, είπαν.
A παραλλαγή του Mirai διεξάγει επίσης επιθέσεις DDoS για να εκμεταλλευτεί το ελάττωμα στέλνοντας ένα πακέτο από τον διακομιστή C&C για να κατευθύνει το τελικό σημείο για να ξεκινήσει την επίθεση, σημείωσαν οι ερευνητές.
«Η εντολή που καθορίζεται είναι 0x01 για μια πλημμύρα Valve Source Engine (VSE), με διάρκεια 60 δευτερολέπτων (0x3C), στοχεύοντας τη διεύθυνση IP ενός τυχαίως επιλεγμένου θύματος και τον αριθμό θύρας 30129», εξήγησαν.
Το Miori, μια άλλη παραλλαγή του Mirai, έχει επίσης ενταχθεί στη μάχη για τη διεξαγωγή επιθέσεων ωμής βίας σε παραβιασμένες συσκευές, σημείωσαν οι ερευνητές. Και παρατήρησαν επίσης επιθέσεις από τον Κόντι που παραμένει συνεπής με μια έκδοση του botnet που ήταν ενεργή πέρυσι.
Η επίθεση διατηρεί τη λειτουργία αποτροπής επανεκκίνησης διαγράφοντας δυαδικά αρχεία που είναι υπεύθυνα για τον τερματισμό ή την επανεκκίνηση του συστήματος και σαρώνει ενεργές διεργασίες και παραπομπές με προκαθορισμένες συμβολοσειρές για να τερματίσει διεργασίες με αντίστοιχα ονόματα, είπαν οι ερευνητές.
Patch & Protect για αποφυγή DDoS
Οι επιθέσεις Botnet που εκμεταλλεύονται τα ελαττώματα της συσκευής για να στοχεύσουν περιβάλλοντα IoT είναι «ανελέητες» και ως εκ τούτου οι χρήστες θα πρέπει να είναι προσεκτικοί έναντι των botnet DDoS», σημείωσαν οι ερευνητές. Πράγματι, οι αντίπαλοι του IoT προωθούν τις επιθέσεις τους επιτίθεται σε μη επιδιορθωμένα ελαττώματα της συσκευής για να προωθήσουν τις εξελιγμένες επιθέσεις τους.
Οι επιθέσεις εναντίον συσκευών TP-Link μπορούν να μετριαστούν με την εφαρμογή της διαθέσιμης ενημέρωσης κώδικα για τις επηρεαζόμενες συσκευές και αυτή η πρακτική θα πρέπει να ακολουθείται για οποιεσδήποτε άλλες συσκευές IoT «για να προστατεύσουν τα περιβάλλοντα δικτύου τους από μόλυνση, αποτρέποντάς τους να γίνουν bot για κακόβουλους παράγοντες απειλών». έγραψαν οι ερευνητές.
Η Fortiguard συμπεριέλαβε επίσης στην ανάρτησή της διάφορους δείκτες συμβιβασμού (IoC) για τις διάφορες επιθέσεις botnet, συμπεριλαμβανομένων διακομιστών C2, διευθύνσεων URL και αρχείων που μπορούν να βοηθήσουν τους διαχειριστές των διακομιστών να αναγνωρίσουν μια επίθεση.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
