IoT-संचालित डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (DDoS) हमलों के लिए उपकरणों से समझौता करने के लिए कई बॉटनेट टीपी-लिंक राउटर्स में लगभग एक साल पुरानी कमांड-इंजेक्शन भेद्यता को बढ़ावा दे रहे हैं।

दोष के लिए पहले से ही एक पैच मौजूद है, जिसे ट्रैक किया गया है CVE-2023-1389, टीपी-लिंक आर्चर AX21 (AX1800) वाई-फाई राउटर के वेब प्रबंधन इंटरफ़ेस में पाया गया और प्रभावित करने वाले डिवाइस संस्करण 1.1.4 बिल्ड 20230219 या उससे पहले।

हालाँकि, धमकी देने वाले कलाकार विभिन्न बॉटनेट को भेजने के लिए अनपैच्ड डिवाइस का लाभ उठा रहे हैं - जिसमें मूबोट, मिओरी, एगोएंट, ए शामिल हैं। गफ़गाइट संस्करण, और कुख्यात मिराई बॉटनेट के वेरिएंट - जो DDoS के लिए उपकरणों और आगे की नापाक गतिविधि से समझौता कर सकते हैं, के अनुसार एक ब्लॉग पोस्ट फोर्टीगार्ड लैब्स थ्रेट रिसर्च से।

"हाल ही में, हमने इस साल पुरानी भेद्यता पर ध्यान केंद्रित करते हुए कई हमलों को देखा," जिसका पहले से ही भारत द्वारा शोषण किया गया था मिराई बोनेटफ़ोर्टिगार्ड के शोधकर्ताओं कारा लिन और विंसेंट ली की पोस्ट के अनुसार। उन्होंने कहा, फोर्टिगार्ड के आईपीएस टेलीमेट्री ने महत्वपूर्ण ट्रैफिक चोटियों का पता लगाया है, जिसने शोधकर्ताओं को दुर्भावनापूर्ण गतिविधि के प्रति सचेत कर दिया है।

टीपी-लिंक दोष का फायदा उठाना

टीपी-लिंक के अनुसार, दोष एक ऐसा परिदृश्य बनाता है जिसमें राउटर के प्रबंधन इंटरफ़ेस के "देश" फ़ील्ड का कोई स्वच्छताकरण नहीं होता है, "इसलिए एक हमलावर दुर्भावनापूर्ण गतिविधियों के लिए इसका फायदा उठा सकता है और पैर जमा सकता है।" सुरक्षा सलाहकार दोष के लिए.

"यह वेब प्रबंधन इंटरफ़ेस के माध्यम से उपलब्ध 'लोकेल' एपीआई में एक अप्रमाणित कमांड-इंजेक्शन भेद्यता है," लिन और ली ने समझाया।

शोधकर्ताओं ने बताया कि इसका फायदा उठाने के लिए, उपयोगकर्ता निर्दिष्ट फॉर्म "देश" पर क्वेरी कर सकते हैं और "लिखें" ऑपरेशन कर सकते हैं, जिसे "set_country" फ़ंक्शन द्वारा नियंत्रित किया जाता है। वह फ़ंक्शन "merge_config_by_country" फ़ंक्शन को कॉल करता है और निर्दिष्ट फॉर्म "देश" के तर्क को एक कमांड स्ट्रिंग में जोड़ता है। इस स्ट्रिंग को फिर "पोपेन" फ़ंक्शन द्वारा निष्पादित किया जाता है।

शोधकर्ताओं ने लिखा, "चूंकि 'देश' फ़ील्ड खाली नहीं किया जाएगा, इसलिए हमलावर कमांड इंजेक्शन हासिल कर सकता है।"

घेराबंदी के लिए बोटनेट

पिछले साल जब खामी का खुलासा हुआ तो टीपी-लिंक की सलाह में मिराई बॉटनेट द्वारा शोषण की स्वीकृति शामिल थी। लेकिन तब से अन्य बॉटनेट के साथ-साथ विभिन्न मिराई वेरिएंट ने भी कमजोर उपकरणों के खिलाफ घेराबंदी कर ली है।

एक है एगोएंट, एक गोलांग-आधारित एजेंट बॉट जो पहले हमलावर-नियंत्रित वेबसाइट से स्क्रिप्ट फ़ाइल "exec.sh" लाकर हमला करता है, जो फिर विभिन्न लिनक्स-आधारित आर्किटेक्चर की निष्पादन योग्य और लिंक करने योग्य प्रारूप (ईएलएफ) फ़ाइलों को पुनर्प्राप्त करता है।

इसके बाद बॉट दो प्राथमिक व्यवहार निष्पादित करता है: पहला यादृच्छिक वर्णों का उपयोग करके होस्ट उपयोगकर्ता नाम और पासवर्ड बनाना है, और दूसरा डिवाइस अधिग्रहण के लिए मैलवेयर द्वारा बनाए गए क्रेडेंशियल्स को पास करने के लिए कमांड और नियंत्रण (सी 2) के साथ कनेक्शन स्थापित करना है। शोधकर्ताओं ने कहा.

एक बॉटनेट जो लिनक्स आर्किटेक्चर में सेवा से इनकार (DoS) बनाता है, जिसे गैफ़गिट वैरिएंट कहा जाता है, एक स्क्रिप्ट फ़ाइल को डाउनलोड और निष्पादित करके और फिर उपसर्ग फ़ाइल नाम "पुनर्जन्म" के साथ लिनक्स आर्किटेक्चर निष्पादन फ़ाइलों को पुनर्प्राप्त करके टीपी-लिंक दोष पर हमला कर रहा है। शोधकर्ताओं ने बताया कि बॉटनेट को तब समझौता किए गए लक्ष्य आईपी और आर्किटेक्चर की जानकारी मिलती है, जिसे वह एक स्ट्रिंग में जोड़ता है जो उसके प्रारंभिक कनेक्शन संदेश का हिस्सा है।

शोधकर्ताओं ने लिखा, "अपने C2 सर्वर के साथ कनेक्शन स्थापित करने के बाद, मैलवेयर को समझौता किए गए लक्ष्य पर दृढ़ता सुनिश्चित करने के लिए सर्वर से निरंतर 'पिंग' कमांड प्राप्त होता है।" इसके बाद यह DoS हमले बनाने के लिए विभिन्न C2 कमांड की प्रतीक्षा करता है।

शोधकर्ताओं ने कहा कि Moobot नामक बॉटनेट भी हमलावर के C2 सर्वर से एक कमांड के माध्यम से दूरस्थ आईपी पर DDoS हमलों का संचालन करने की खामी पर हमला कर रहा है। उन्होंने कहा, जबकि बॉटनेट विभिन्न IoT हार्डवेयर आर्किटेक्चर को लक्षित करता है, फोर्टीगार्ड शोधकर्ताओं ने इसकी शोषण गतिविधि निर्धारित करने के लिए "x86_64" आर्किटेक्चर के लिए डिज़ाइन की गई बॉटनेट की निष्पादन फ़ाइल का विश्लेषण किया।

A मिराई का प्रकार शोधकर्ताओं ने नोट किया कि हमले को शुरू करने के लिए एंडपॉइंट को निर्देशित करने के लिए सी एंड सी सर्वर से एक पैकेट भेजकर दोष के शोषण में डीडीओएस हमले भी किए जा रहे हैं।

“वाल्व सोर्स इंजन (वीएसई) बाढ़ के लिए निर्दिष्ट कमांड 0x01 है, जिसकी अवधि 60 सेकंड (0x3C) है, जो यादृच्छिक रूप से चयनित पीड़ित के आईपी पते और पोर्ट नंबर 30129 को लक्षित करता है,” उन्होंने समझाया।

शोधकर्ताओं ने नोट किया कि मिराई का एक अन्य संस्करण मियोरी भी क्षतिग्रस्त उपकरणों पर क्रूर हमले करने की होड़ में शामिल हो गया है। और उन्होंने कॉन्डी के हमलों को भी देखा जो पिछले साल सक्रिय बॉटनेट के संस्करण के अनुरूप है।

शोधकर्ताओं ने कहा कि हमला सिस्टम को बंद करने या रिबूट करने के लिए जिम्मेदार बायनेरिज़ को हटाकर रिबूट को रोकने के कार्य को बरकरार रखता है, और मिलान नामों के साथ प्रक्रियाओं को समाप्त करने के लिए पूर्वनिर्धारित स्ट्रिंग्स के साथ सक्रिय प्रक्रियाओं और क्रॉस-रेफरेंस को स्कैन करता है।

DDoS से बचने के लिए पैच और सुरक्षा करें

शोधकर्ताओं ने कहा, IoT वातावरण को लक्षित करने के लिए डिवाइस की खामियों का फायदा उठाने वाले बोटनेट हमले "अथक" हैं और इस प्रकार उपयोगकर्ताओं को DDoS बॉटनेट के प्रति सतर्क रहना चाहिए। दरअसल, IoT विरोधी अपने हमलों को आगे बढ़ा रहे हैं अप्रकाशित डिवाइस की खामियों पर ज़ोर देना अपने परिष्कृत हमले के एजेंडे को आगे बढ़ाने के लिए।

प्रभावित उपकरणों के लिए उपलब्ध पैच को लागू करके टीपी-लिंक उपकरणों के खिलाफ हमलों को कम किया जा सकता है, और किसी भी अन्य IoT उपकरणों के लिए इस अभ्यास का पालन किया जाना चाहिए "उनके नेटवर्क वातावरण को संक्रमण से बचाने के लिए, उन्हें दुर्भावनापूर्ण खतरे वाले अभिनेताओं के लिए बॉट बनने से रोकने के लिए," शोधकर्ताओं ने लिखा.

फोर्टिगार्ड ने अपने पोस्ट में विभिन्न बॉटनेट हमलों के लिए समझौते के विभिन्न संकेतक (आईओसी) भी शामिल किए हैं, जिनमें सी2 सर्वर, यूआरएल और फाइलें शामिल हैं जो सर्वर प्रशासकों को हमले की पहचान करने में मदद कर सकते हैं।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks