Useat botnet-verkot lyövät TP-Link-reitittimien lähes vuoden vanhaa komento-injektiohaavoittuvuutta vaarantaakseen laitteet IoT-ohjatuille hajautettuja palvelunestohyökkäyksiä (DDoS) varten.
Vialle on jo korjaustiedosto, jäljitetty nimellä CVE-2023-1389, löytyy TP-Link Archer AX21 (AX1800) Wi-Fi-reitittimen ja vaikuttavien laitteiden verkkohallintaliittymästä Version 1.1.4 Build 20230219 tai sitä vanhempi.
Uhkatoimijat kuitenkin hyödyntävät korjaamattomia laitteita lähettääkseen erilaisia botnet-verkkoja – mukaan lukien Moobot, Miori, AGoent, Gafgyt varianttija muunnelmia surullisen kuuluisasta Mirai-botnet-verkosta, jotka voivat vaarantaa DDoS-laitteet ja muita ilkeitä toimintoja. blogi Fortiguard Labs Threat Researchilta.
"Havaitsimme äskettäin useita hyökkäyksiä, jotka keskittyivät tähän vuoden vanhaan haavoittuvuuteen", jota jo aiemmin hyödynnettiin Mirai-botnet-verkkoFortiguardin tutkijoiden Cara Linin ja Vincent Li:n postauksen mukaan. Fortiguardin IPS-telemetria on havainnut merkittäviä liikennepiikkejä, mikä varoitti tutkijoita haitallisesta toiminnasta, he sanoivat.
TP-Link-virheen hyödyntäminen
Virhe luo skenaarion, jossa reitittimen hallintaliittymän "Maa"-kenttää ei ole desinfioitu, "joten hyökkääjä voi hyödyntää sitä haitallisiin toimiin ja saada jalansijaa", TP-Linkin mukaan. turvallisuusneuvonta vian takia.
"Tämä on todentamaton komento-injektiohaavoittuvuus "locale" API:ssa, joka on saatavilla web-hallintaliittymän kautta", Lin ja Li selittivät.
Käyttääkseen sitä käyttäjät voivat tehdä kyselyn määritetyllä lomakkeella "country" ja suorittaa "kirjoitus"-operaation, jota käsittelee "set_country"-funktio, tutkijat selittivät. Tämä funktio kutsuu "merge_config_by_country"-funktiota ja ketjuttaa määritetyn muodon argumentin "country" komentojonoksi. Tämän merkkijonon suorittaa sitten "popen"-funktio.
"Koska 'maa' -kenttää ei tyhjennetä, hyökkääjä voi saada komentopistoksen", tutkijat kirjoittivat.
Bottiverkot piiritykseen
TP-Linkin neuvo, kun virhe paljastettiin viime vuonna, sisälsi Mirai-botnetin hyväksikäytön tunnustamisen. Mutta siitä lähtien muut botnetit sekä erilaiset Mirai-versiot ovat myös piirittäneet haavoittuvia laitteita.
Yksi niistä on Agoent, Golang-pohjainen agenttibotti, joka hyökkää hakemalla ensin komentosarjatiedoston "exec.sh" hyökkääjän hallitsemalta verkkosivustolta, joka sitten noutaa eri Linux-pohjaisten arkkitehtuurien suoritettavat ja linkitettävät muodot (ELF).
Botti suorittaa sitten kaksi ensisijaista toimintaa: ensimmäinen on luoda isännän käyttäjätunnus ja salasana satunnaisten merkkien avulla, ja toinen on muodostaa yhteys komentoihin ja ohjaukseen (C2), jotta haittaohjelman juuri luomat tunnistetiedot välitetään laitteen haltuunottoa varten. tutkijat sanoivat.
Bottiverkko, joka luo palvelunestoa (DoS) Linux-arkkitehtuureissa, nimeltään Gafgyt-variantti, hyökkää myös TP-Link-virhettä vastaan lataamalla ja suorittamalla komentosarjatiedoston ja hakemalla sitten Linux-arkkitehtuurin suoritustiedostoja etuliitteellä "rebirth". Bottiverkko saa sitten vaarantuneet kohde-IP- ja arkkitehtuuritiedot, jotka se ketjuttaa merkkijonoon, joka on osa sen alkuperäistä yhteysviestiä, tutkijat selittivät.
"Kun haittaohjelma on muodostanut yhteyden C2-palvelimeensa, se saa jatkuvan "PING"-komennon palvelimelta varmistaakseen pysyvyyden vaarantuneessa kohteessa", tutkijat kirjoittivat. Sitten se odottaa erilaisia C2-komentoja DoS-hyökkäysten luomiseksi.
Moobot-niminen bottiverkko hyökkää myös virheeseen tehdäkseen DDoS-hyökkäyksiä etä-IP-osoitteisiin hyökkääjän C2-palvelimen komennon kautta, tutkijat sanoivat. Vaikka bottiverkko kohdistuu erilaisiin IoT-laitteistoarkkitehtuureihin, Fortiguardin tutkijat analysoivat bottiverkon "x86_64"-arkkitehtuurille suunniteltua suoritustiedostoa määrittääkseen sen hyödyntämistoiminnan, he sanoivat.
A muunnelma Miraista Hän myös suorittaa DDoS-hyökkäyksiä virheen hyödyntämisessä lähettämällä paketin C&C-palvelimelta ohjaamaan päätepistettä käynnistämään hyökkäyksen, tutkijat huomauttivat.
"Määritetty komento on 0x01 Valve Source Engine (VSE) -tulvalle, jonka kesto on 60 sekuntia (0x3C) ja kohdistuu satunnaisesti valitun uhrin IP-osoitteeseen ja porttinumeroon 30129", he selittivät.
Miori, toinen Mirai-variantti, on myös liittynyt taisteluun suorittaakseen raakoja hyökkäyksiä vaarantuneita laitteita vastaan, tutkijat huomauttavat. Ja he havaitsivat myös Condin hyökkäyksiä, jotka ovat yhdenmukaisia viime vuonna aktiivisen bottiverkon kanssa.
Hyökkäys säilyttää toiminnon estää uudelleenkäynnistykset poistamalla binaarit, jotka vastaavat järjestelmän sammuttamisesta tai uudelleenkäynnistämisestä, ja skannaa aktiiviset prosessit ja ristiviittaukset ennalta määritetyillä merkkijonoilla lopettaakseen prosessit vastaavilla nimillä, tutkijat sanoivat.
Patch & Protect DDoS:n välttämiseksi
Botnet-hyökkäykset, joissa hyödynnetään laitevirheitä IoT-ympäristöihin kohdistamiseen, ovat "hellimättömiä", ja siksi käyttäjien tulee olla valppaita DDoS-bottiverkkoja vastaan", tutkijat huomauttavat. IoT-vastustajat todellakin edistävät hyökkäyksiään törmätä korjaamattomiin laitevirheisiin edistääkseen kehittyneitä hyökkäysohjelmiaan.
TP-Link-laitteita vastaan kohdistuvia hyökkäyksiä voidaan lieventää käyttämällä saatavilla olevaa korjaustiedostoa kyseisille laitteille, ja tätä käytäntöä tulisi noudattaa kaikissa muissa IoT-laitteissa "suojatakseen verkkoympäristönsä tartunnalta ja estääkseen niitä tulemasta haitallisten uhkatoimijoiden botteiksi". tutkijat kirjoittivat.
Fortiguard sisällytti viestiinsä myös erilaisia kompromissiindikaattoreita (IoC) eri botnet-hyökkäyksiä varten, mukaan lukien C2-palvelimet, URL-osoitteet ja tiedostot, jotka voivat auttaa palvelimen järjestelmänvalvojia tunnistamaan hyökkäyksen.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
