Varias botnets atacan una falla de TP-Link de un año de antigüedad en ataques de IoT

Varias botnets están atacando una vulnerabilidad de inyección de comandos de casi un año de antigüedad en enrutadores TP-Link para comprometer los dispositivos en ataques de denegación de servicio distribuido (DDoS) impulsados por IoT.

Ya existe un parche para el defecto, rastreado como CVE-2023-1389, que se encuentra en la interfaz de administración web del enrutador Wi-Fi TP-Link Archer AX21 (AX1800) y afecta a los dispositivos Versión 1.1.4 Build 20230219 o anterior.

Sin embargo, los actores de amenazas están aprovechando dispositivos sin parches para enviar varias botnets, entre ellas Moobot, Miori, AGoent, una Variante Gafgyty variantes de la infame botnet Mirai, que pueden comprometer los dispositivos para ataques DDoS y otras actividades nefastas, según una entrada de blog de Investigación de amenazas de Fortiguard Labs.

"Recientemente, observamos múltiples ataques centrados en esta vulnerabilidad de hace un año", que ya había sido explotada anteriormente por el Mirai botnet, según la publicación de los investigadores de Fortiguard Cara Lin y Vincent Li. La telemetría IPS de Fortiguard detectó picos de tráfico significativos, lo que alertó a los investigadores sobre la actividad maliciosa, dijeron.

Explotando la falla de TP-Link

La falla crea un escenario en el que no hay desinfección del campo "País" de la interfaz de administración del enrutador, "por lo que un atacante puede explotarlo para actividades maliciosas y afianzarse", según TP-Link. asesoramiento de seguridad por el defecto.

"Esta es una vulnerabilidad de inyección de comandos no autenticada en la API 'local' disponible a través de la interfaz de administración web", explicaron Lin y Li.

Para explotarlo, los usuarios pueden consultar el formulario especificado "país" y realizar una operación de "escritura", que es manejada por la función "set_country", explicaron los investigadores. Esa función llama a la función "merge_config_by_country" y concatena el argumento del formato especificado "país" en una cadena de comando. Esta cadena luego es ejecutada por la función "popen".

"Dado que el campo 'país' no se vaciará, el atacante puede lograr la inyección de comandos", escribieron los investigadores.

Botnets al asedio

El aviso de TP-Link cuando se reveló la falla el año pasado incluía el reconocimiento de la explotación por parte de la botnet Mirai. Pero desde entonces, otras botnets y diversas variantes de Mirai también han atacado dispositivos vulnerables.

Uno es Agoent, un robot agente basado en Golang que ataca obteniendo primero el archivo de script “exec.sh” de un sitio web controlado por el atacante, que luego recupera los archivos de formato ejecutable y vinculable (ELF) de diferentes arquitecturas basadas en Linux.

Luego, el bot ejecuta dos comportamientos principales: el primero es crear el nombre de usuario y la contraseña del host usando caracteres aleatorios, y el segundo es establecer una conexión con comando y control (C2) para transmitir las credenciales que acaba de crear el malware para tomar el control del dispositivo. dijeron los investigadores.

Una botnet que crea denegación de servicio (DoS) en arquitecturas Linux llamada variante Gafgyt también está atacando la falla de TP-Link descargando y ejecutando un archivo de script y luego recuperando archivos de ejecución de arquitectura Linux con el prefijo de nombre de archivo "rebirth". Luego, la botnet obtiene la IP del objetivo comprometido y la información de arquitectura, que concatena en una cadena que forma parte de su mensaje de conexión inicial, explicaron los investigadores.

"Después de establecer una conexión con su servidor C2, el malware recibe un comando 'PING' continuo del servidor para garantizar la persistencia en el objetivo comprometido", escribieron los investigadores. Luego espera varios comandos C2 para crear ataques DoS.

La botnet llamada Moobot también está atacando la falla para realizar ataques DDoS en IP remotas mediante un comando del servidor C2 del atacante, dijeron los investigadores. Si bien la botnet apunta a varias arquitecturas de hardware de IoT, los investigadores de Fortiguard analizaron el archivo de ejecución de la botnet diseñado para la arquitectura "x86_64" para determinar su actividad de explotación, dijeron.

A variante de mirai También está realizando ataques DDoS para explotar la falla enviando un paquete desde el servidor C&C para dirigir al punto final para que inicie el ataque, señalaron los investigadores.

"El comando especificado es 0x01 para una inundación de Valve Source Engine (VSE), con una duración de 60 segundos (0x3C), dirigido a la dirección IP de una víctima seleccionada al azar y al número de puerto 30129", explicaron.

Miori, otra variante de Mirai, también se ha unido a la lucha para realizar ataques de fuerza bruta en dispositivos comprometidos, señalaron los investigadores. Y también observaron ataques de Condi que siguen siendo consistentes con una versión de la botnet que estuvo activa el año pasado.

El ataque conserva la función de evitar reinicios eliminando los archivos binarios responsables de apagar o reiniciar el sistema, y escanea procesos activos y referencias cruzadas con cadenas predefinidas para terminar procesos con nombres coincidentes, dijeron los investigadores.

Parchee y proteja para evitar DDoS

Los ataques de botnets que explotan fallas de dispositivos para atacar entornos de IoT son "implacables" y, por lo tanto, los usuarios deben estar atentos a las botnets DDoS", señalaron los investigadores. De hecho, los adversarios de la IoT están avanzando en sus ataques mediante Abalanzarse sobre fallas de dispositivos sin parches para promover sus sofisticadas agendas de ataque.

Los ataques contra dispositivos TP-Link se pueden mitigar aplicando el parche disponible para los dispositivos afectados, y esta práctica debe seguirse para cualquier otro dispositivo IoT "para salvaguardar sus entornos de red de infecciones, evitando que se conviertan en bots para actores de amenazas maliciosos", dijo. escribieron los investigadores.

Fortiguard también incluyó en su publicación varios indicadores de compromiso (IoC) para los diferentes ataques de botnet, incluidos servidores C2, URL y archivos que pueden ayudar a los administradores de servidores a identificar un ataque.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks

Inteligencia de datos generativa

Varias botnets atacan una falla de TP-Link de un año de antigüedad en ataques de IoT

Explotando la falla de TP-Link

Botnets al asedio

Parchee y proteja para evitar DDoS

Cómo elegir la mejor agencia de desarrollo de Shopify para tu negocio

Proteger la información personal: principales consejos de protección de la PII

Información más reciente

Perspectiva EUR/USD: El dólar se reafirma antes de la crucial reunión del FOMC

EUR/USD frena pérdidas un día después de los datos de inflación de la eurozona | Forexlive

Apostar en carreras de caballos en Canadá

PIB preliminar del primer trimestre de la eurozona +1% frente al +0.3% intertrimestral esperado | Forexlive

Precio de la plata hoy: cae el 30 de abril

Resultados mixtos para Europa a medida que avanza la batalla contra la inflación en el Reino Unido