Divers botnets attaquent une faille TP-Link vieille d'un an dans les attaques IoT

Un certain nombre de botnets exploitent une vulnérabilité d'injection de commandes vieille de près d'un an dans les routeurs TP-Link afin de compromettre les appareils pour les attaques par déni de service distribué (DDoS) pilotées par l'IoT.

Il existe déjà un correctif pour la faille, suivi comme CVE-2023-1389, trouvé dans l'interface de gestion Web du routeur Wi-Fi TP-Link Archer AX21 (AX1800) et affectant les appareils version 1.1.4 Build 20230219 ou antérieure.

Cependant, les acteurs malveillants profitent des appareils non corrigés pour lancer divers réseaux de zombies, notamment Moobot, Miori, AGoent, un Variante Gafgyt, et des variantes du tristement célèbre botnet Mirai – qui peuvent compromettre les appareils pour les DDoS et d'autres activités néfastes, selon un blog de Fortiguard Labs Threat Research.

"Récemment, nous avons observé plusieurs attaques ciblant cette vulnérabilité vieille d'un an", qui avait déjà été exploitée par l'entreprise. Mirai botnet, selon le message des chercheurs de Fortiguard Cara Lin et Vincent Li. La télémétrie IPS de Fortiguard a détecté des pics de trafic importants, ce qui a alerté les chercheurs de l'activité malveillante, ont-ils indiqué.

Exploiter la faille TP-Link

La faille crée un scénario dans lequel il n'y a pas de nettoyage du champ « Pays » de l'interface de gestion du routeur, « afin qu'un attaquant puisse l'exploiter pour des activités malveillantes et prendre pied », selon TP-Link. avis de sécurité pour le défaut.

"Il s'agit d'une vulnérabilité d'injection de commande non authentifiée dans l'API 'locale' disponible via l'interface de gestion Web", ont expliqué Lin et Li.

Pour l'exploiter, les utilisateurs peuvent interroger le formulaire spécifié « country » et effectuer une opération « d'écriture », qui est gérée par la fonction « set_country », ont expliqué les chercheurs. Cette fonction appelle la fonction « merge_config_by_country » et concatène l'argument du formulaire spécifié « country » dans une chaîne de commande. Cette chaîne est ensuite exécutée par la fonction « popen ».

"Comme le champ 'pays' ne sera pas vidé, l'attaquant peut réaliser une injection de commande", ont écrit les chercheurs.

Des botnets au siège

L'avis de TP-Link lorsque la faille a été révélée l'année dernière incluait la reconnaissance de l'exploitation par le botnet Mirai. Mais depuis lors, d’autres botnets ainsi que diverses variantes de Mirai ont également assiégé les appareils vulnérables.

L'un d'entre eux est Agoent, un robot agent basé sur Golang qui attaque en récupérant d'abord le fichier de script « exec.sh » sur un site Web contrôlé par un attaquant, qui récupère ensuite les fichiers au format exécutable et lié (ELF) de différentes architectures basées sur Linux.

Le bot exécute ensuite deux comportements principaux : la première consiste à créer le nom d'utilisateur et le mot de passe de l'hôte à l'aide de caractères aléatoires, et la seconde consiste à établir une connexion avec la commande et le contrôle (C2) pour transmettre les informations d'identification qui viennent d'être créées par le malware pour la prise de contrôle de l'appareil. » ont déclaré les chercheurs.

Un botnet qui crée un déni de service (DoS) dans les architectures Linux, appelé variante Gafgyt, attaque également la faille TP-Link en téléchargeant et en exécutant un fichier de script, puis en récupérant les fichiers d'exécution de l'architecture Linux avec le préfixe « rebirth ». Le botnet obtient ensuite l'adresse IP cible et les informations d'architecture compromises, qu'il concatène dans une chaîne qui fait partie de son message de connexion initial, ont expliqué les chercheurs.

"Après avoir établi une connexion avec son serveur C2, le malware reçoit une commande 'PING' continue du serveur pour assurer la persistance sur la cible compromise", ont écrit les chercheurs. Il attend ensuite diverses commandes C2 pour créer des attaques DoS.

Le botnet appelé Moobot attaque également la faille pour mener des attaques DDoS sur des adresses IP distantes via une commande du serveur C2 de l'attaquant, ont indiqué les chercheurs. Alors que le botnet cible diverses architectures matérielles IoT, les chercheurs de Fortiguard ont analysé le fichier d'exécution du botnet conçu pour l'architecture « x86_64 » afin de déterminer son activité d'exploitation, ont-ils déclaré.

A variante de Mirai mène également des attaques DDoS dans le cadre de son exploitation de la faille en envoyant un paquet depuis le serveur C&C pour ordonner au point final de lancer l'attaque, ont noté les chercheurs.

"La commande spécifiée est 0x01 pour une inondation de Valve Source Engine (VSE), d'une durée de 60 secondes (0x3C), ciblant l'adresse IP d'une victime sélectionnée au hasard et le numéro de port 30129", ont-ils expliqué.

Miori, une autre variante de Mirai, a également rejoint la mêlée pour mener des attaques par force brute sur des appareils compromis, ont noté les chercheurs. Et ils ont également observé des attaques de Condi qui restent cohérentes avec une version du botnet active l’année dernière.

L'attaque conserve la fonction d'empêcher les redémarrages en supprimant les binaires responsables de l'arrêt ou du redémarrage du système, et analyse les processus actifs et les références croisées avec des chaînes prédéfinies pour mettre fin aux processus portant des noms correspondants, ont indiqué les chercheurs.

Corrigez et protégez pour éviter les DDoS

Les attaques de botnets qui exploitent les failles des appareils pour cibler les environnements IoT sont « implacables » et les utilisateurs doivent donc être vigilants contre les botnets DDoS », ont noté les chercheurs. En effet, les adversaires de l’IoT progressent dans leurs attaques en s'attaquer aux failles de l'appareil non corrigées pour faire avancer leurs programmes d’attaque sophistiqués.

Les attaques contre les appareils TP-Link peuvent être atténuées en appliquant le correctif disponible pour les appareils concernés, et cette pratique doit être suivie pour tous les autres appareils IoT « afin de protéger leurs environnements réseau contre les infections, les empêchant de devenir des robots pour des acteurs malveillants », le les chercheurs ont écrit.

Fortiguard a également inclus dans son article divers indicateurs de compromission (IoC) pour les différentes attaques de botnet, notamment les serveurs C2, les URL et les fichiers qui peuvent aider les administrateurs de serveurs à identifier une attaque.

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
La source: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks

Intelligence de données générative

Divers botnets attaquent une faille TP-Link vieille d'un an dans les attaques IoT

Exploiter la faille TP-Link

Des botnets au siège

Corrigez et protégez pour éviter les DDoS

Comment choisir la meilleure agence de développement Shopify pour votre entreprise

Sécurisation des informations personnelles : meilleurs conseils de protection des informations personnelles

Dernières informations

Perspectives EUR/USD : les entreprises du dollar avant la réunion cruciale du FOMC

L'EUR/USD réduit ses pertes au lendemain des données sur l'inflation de la zone euro | Forexlive

Parier sur les courses de chevaux au Canada

PIB préliminaire de la zone euro au premier trimestre +1% contre +0.3% t/t attendu | Forexlive

Prix de l’argent aujourd’hui : chute le 30 avril

Des bénéfices mitigés pour l’Europe alors que la lutte contre l’inflation au Royaume-Uni progresse