Zephyrnet logó

Generatív adatintelligencia

Kiberbiztonság

Különféle botnetek Pummel éves TP-Link hiba az IoT-támadásokban

Újra kiadta Platón
Újra kiadta Platón

Találka:

Megtekintések: 80

Számos botnet feszegeti a TP-Link útválasztók csaknem éves parancs-injekciós sebezhetőségét, hogy kompromittálja az eszközöket az IoT-vezérelt elosztott szolgáltatásmegtagadási (DDoS) támadásokhoz.

Már van egy javítás a hibára, nyomon követve CVE-2023 1389-, megtalálható a TP-Link Archer AX21 (AX1800) Wi-Fi router webes kezelőfelületén és az érintett eszközök 1.1.4-es verziója, Build 20230219 vagy korábbi.

A fenyegetés szereplői azonban kihasználják a javítatlan eszközöket különféle botnetek küldésére – köztük a Moobot, a Miori, az AGoent, egy Gafgyt változatés a hírhedt Mirai botnet változatai – amelyek veszélyeztethetik a DDoS-eszközöket és további aljas tevékenységeket. egy blogbejegyzés a Fortiguard Labs Threat Research-től.

„A közelmúltban több támadást is megfigyeltünk, amelyek erre az éves sebezhetőségre összpontosítottak”, amelyet már korábban is kihasználtak a Mirai botnet, Cara Lin és Vincent Li Fortiguard kutatóinak bejegyzése szerint. A Fortiguard IPS telemetriája jelentős forgalmi csúcsokat észlelt, ami figyelmeztette a kutatókat a rosszindulatú tevékenységre.

A hiba olyan forgatókönyvet hoz létre, amelyben az útválasztó kezelőfelületének „Ország” mezője nincs fertőtlenítve, „így a támadó kihasználhatja azt rosszindulatú tevékenységekre és megveheti a lábát” – írja a TP-Link. biztonsági tanácsadás a hibáért.

„Ez egy nem hitelesített parancsinjekciós rés a webes kezelőfelületen keresztül elérhető „locale” API-ban” – magyarázta Lin és Li.

Ennek kihasználásához a felhasználók lekérdezhetik a megadott „country” űrlapot, és „írási” műveletet hajthatnak végre, amelyet a „set_country” függvény kezel – magyarázták a kutatók. Ez a függvény meghívja a „merge_config_by_country” függvényt, és összefűzi a megadott „country” formátumú argumentumot egy parancssorba. Ezt a karakterláncot ezután a „popen” függvény hajtja végre.

„Mivel az „ország” mező nem ürül ki, a támadó parancsinjekciót hajthat végre” – írták a kutatók.

Botnetek az ostromba

A TP-Link tanácsa, amikor tavaly kiderült a hiba, magában foglalta a Mirai botnet általi kihasználásának elismerését. De azóta más botnetek, valamint a Mirai különféle változatai is ostrom alá vették a sebezhető eszközöket.

Az egyik az Agoent, egy Golang-alapú ügynökbot, amely úgy támad, hogy először lekéri az „exec.sh” szkriptfájlt egy támadó által vezérelt webhelyről, amely aztán lekéri a különböző Linux-alapú architektúrák végrehajtható és összekapcsolható formátumú (ELF) fájljait.

A bot ezután két elsődleges viselkedést hajt végre: az első az, hogy véletlenszerű karakterekkel hozza létre a gazdagép felhasználónevét és jelszavát, a második pedig, hogy kapcsolatot létesítsen a parancs- és vezérléssel (C2), hogy átadja a rosszindulatú program által éppen létrehozott hitelesítő adatokat az eszközátvételhez. – mondták a kutatók.

A Gafgyt változatnak nevezett botnet, amely szolgáltatásmegtagadást (DoS) hoz létre a Linux architektúrákban, szintén támadja a TP-Link hibáját egy szkriptfájl letöltésével és végrehajtásával, majd visszakeresi a Linux architektúra végrehajtó fájljait az „újjászületés” előtaggal. A botnet ezután megkapja a kompromittált cél IP-címre és architektúrára vonatkozó információkat, amelyeket összefűz egy karakterláncba, amely része a kezdeti kapcsolati üzenetnek – magyarázták a kutatók.

"Miután kapcsolatot létesített a C2-szerverével, a rosszindulatú program folyamatos "PING" parancsot kap a szervertől, hogy biztosítsa a kitartást a feltört célponton" - írták a kutatók. Ezután különböző C2-parancsokra vár, hogy DoS-támadásokat hozzanak létre.

A kutatók szerint a Moobot nevű botnet is támadja azt a hibát, hogy távoli IP-címeken DDoS-támadásokat hajtson végre a támadó C2-szerverének parancsával. Míg a botnet különféle IoT hardverarchitektúrákat céloz meg, a Fortiguard kutatói a botnet „x86_64” architektúrához tervezett végrehajtási fájlját elemezték, hogy meghatározzák annak kihasználási tevékenységét.

A a Mirai változata A kutatók megjegyezték, hogy a hiba kihasználása során DDoS támadásokat is hajt végre úgy, hogy a C&C szerverről csomagot küld a végpontnak a támadás indításához.

"A megadott parancs 0x01 a Valve Source Engine (VSE) elárasztáshoz, 60 másodperces időtartammal (0x3C), amely egy véletlenszerűen kiválasztott áldozat IP-címét és a 30129-es portszámot célozza meg" – magyarázták.

A kutatók megjegyezték, hogy a Miori, egy másik Mirai-változat is csatlakozott a harchoz, hogy brute force támadásokat hajtson végre feltört eszközök ellen. És megfigyelték a Condi által elkövetett támadásokat is, amelyek továbbra is összhangban állnak a botnet egy tavalyi verziójával.

A kutatók elmondták, hogy a támadás megtartja azt a funkciót, hogy megakadályozza az újraindítást a rendszer leállításáért vagy újraindításáért felelős binárisok törlésével, és előre definiált karakterláncokkal vizsgálja az aktív folyamatokat és a kereszthivatkozásokat, hogy leállítsa a megfelelő nevű folyamatokat.

Patch & Protect a DDoS elkerülése érdekében

Az eszközök hibáit kihasználó botnet-támadások az IoT-környezetek megcélzására „kérlelhetetlenek”, ezért a felhasználóknak ébernek kell lenniük a DDoS botnetekkel szemben” – jegyezték meg a kutatók. Valójában az IoT-ellenfelek előrehaladják támadásaikat a kijavítatlan eszközhibákra ugrálva hogy előmozdítsák kifinomult támadási programjaikat.

A TP-Link eszközök elleni támadások mérsékelhetők az érintett eszközökhöz elérhető javítás alkalmazásával, és ezt a gyakorlatot kell követni minden más IoT-eszköz esetében, „hogy megóvjuk hálózati környezetüket a fertőzéstől, megakadályozva, hogy a rosszindulatú fenyegetés szereplői botjaivá váljanak” írták a kutatók.

A Fortiguard a különböző botnet-támadásokra vonatkozó kompromisszumjelzőket (IoC) is belefoglalta a bejegyzésébe, beleértve a C2-kiszolgálókat, az URL-eket és a fájlokat, amelyek segíthetik a szerveradminisztrátorokat a támadás azonosításában.

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.