Számos botnet feszegeti a TP-Link útválasztók csaknem éves parancs-injekciós sebezhetőségét, hogy kompromittálja az eszközöket az IoT-vezérelt elosztott szolgáltatásmegtagadási (DDoS) támadásokhoz.
Már van egy javítás a hibára, nyomon követve CVE-2023 1389-, megtalálható a TP-Link Archer AX21 (AX1800) Wi-Fi router webes kezelőfelületén és az érintett eszközök 1.1.4-es verziója, Build 20230219 vagy korábbi.
A fenyegetés szereplői azonban kihasználják a javítatlan eszközöket különféle botnetek küldésére – köztük a Moobot, a Miori, az AGoent, egy Gafgyt változatés a hírhedt Mirai botnet változatai – amelyek veszélyeztethetik a DDoS-eszközöket és további aljas tevékenységeket. egy blogbejegyzés a Fortiguard Labs Threat Research-től.
„A közelmúltban több támadást is megfigyeltünk, amelyek erre az éves sebezhetőségre összpontosítottak”, amelyet már korábban is kihasználtak a Mirai botnet, Cara Lin és Vincent Li Fortiguard kutatóinak bejegyzése szerint. A Fortiguard IPS telemetriája jelentős forgalmi csúcsokat észlelt, ami figyelmeztette a kutatókat a rosszindulatú tevékenységre.
A TP-Link hiba kihasználása
A hiba olyan forgatókönyvet hoz létre, amelyben az útválasztó kezelőfelületének „Ország” mezője nincs fertőtlenítve, „így a támadó kihasználhatja azt rosszindulatú tevékenységekre és megveheti a lábát” – írja a TP-Link. biztonsági tanácsadás a hibáért.
„Ez egy nem hitelesített parancsinjekciós rés a webes kezelőfelületen keresztül elérhető „locale” API-ban” – magyarázta Lin és Li.
Ennek kihasználásához a felhasználók lekérdezhetik a megadott „country” űrlapot, és „írási” műveletet hajthatnak végre, amelyet a „set_country” függvény kezel – magyarázták a kutatók. Ez a függvény meghívja a „merge_config_by_country” függvényt, és összefűzi a megadott „country” formátumú argumentumot egy parancssorba. Ezt a karakterláncot ezután a „popen” függvény hajtja végre.
„Mivel az „ország” mező nem ürül ki, a támadó parancsinjekciót hajthat végre” – írták a kutatók.
Botnetek az ostromba
A TP-Link tanácsa, amikor tavaly kiderült a hiba, magában foglalta a Mirai botnet általi kihasználásának elismerését. De azóta más botnetek, valamint a Mirai különféle változatai is ostrom alá vették a sebezhető eszközöket.
Az egyik az Agoent, egy Golang-alapú ügynökbot, amely úgy támad, hogy először lekéri az „exec.sh” szkriptfájlt egy támadó által vezérelt webhelyről, amely aztán lekéri a különböző Linux-alapú architektúrák végrehajtható és összekapcsolható formátumú (ELF) fájljait.
A bot ezután két elsődleges viselkedést hajt végre: az első az, hogy véletlenszerű karakterekkel hozza létre a gazdagép felhasználónevét és jelszavát, a második pedig, hogy kapcsolatot létesítsen a parancs- és vezérléssel (C2), hogy átadja a rosszindulatú program által éppen létrehozott hitelesítő adatokat az eszközátvételhez. – mondták a kutatók.
A Gafgyt változatnak nevezett botnet, amely szolgáltatásmegtagadást (DoS) hoz létre a Linux architektúrákban, szintén támadja a TP-Link hibáját egy szkriptfájl letöltésével és végrehajtásával, majd visszakeresi a Linux architektúra végrehajtó fájljait az „újjászületés” előtaggal. A botnet ezután megkapja a kompromittált cél IP-címre és architektúrára vonatkozó információkat, amelyeket összefűz egy karakterláncba, amely része a kezdeti kapcsolati üzenetnek – magyarázták a kutatók.
"Miután kapcsolatot létesített a C2-szerverével, a rosszindulatú program folyamatos "PING" parancsot kap a szervertől, hogy biztosítsa a kitartást a feltört célponton" - írták a kutatók. Ezután különböző C2-parancsokra vár, hogy DoS-támadásokat hozzanak létre.
A kutatók szerint a Moobot nevű botnet is támadja azt a hibát, hogy távoli IP-címeken DDoS-támadásokat hajtson végre a támadó C2-szerverének parancsával. Míg a botnet különféle IoT hardverarchitektúrákat céloz meg, a Fortiguard kutatói a botnet „x86_64” architektúrához tervezett végrehajtási fájlját elemezték, hogy meghatározzák annak kihasználási tevékenységét.
A a Mirai változata A kutatók megjegyezték, hogy a hiba kihasználása során DDoS támadásokat is hajt végre úgy, hogy a C&C szerverről csomagot küld a végpontnak a támadás indításához.
"A megadott parancs 0x01 a Valve Source Engine (VSE) elárasztáshoz, 60 másodperces időtartammal (0x3C), amely egy véletlenszerűen kiválasztott áldozat IP-címét és a 30129-es portszámot célozza meg" – magyarázták.
A kutatók megjegyezték, hogy a Miori, egy másik Mirai-változat is csatlakozott a harchoz, hogy brute force támadásokat hajtson végre feltört eszközök ellen. És megfigyelték a Condi által elkövetett támadásokat is, amelyek továbbra is összhangban állnak a botnet egy tavalyi verziójával.
A kutatók elmondták, hogy a támadás megtartja azt a funkciót, hogy megakadályozza az újraindítást a rendszer leállításáért vagy újraindításáért felelős binárisok törlésével, és előre definiált karakterláncokkal vizsgálja az aktív folyamatokat és a kereszthivatkozásokat, hogy leállítsa a megfelelő nevű folyamatokat.
Patch & Protect a DDoS elkerülése érdekében
Az eszközök hibáit kihasználó botnet-támadások az IoT-környezetek megcélzására „kérlelhetetlenek”, ezért a felhasználóknak ébernek kell lenniük a DDoS botnetekkel szemben” – jegyezték meg a kutatók. Valójában az IoT-ellenfelek előrehaladják támadásaikat a kijavítatlan eszközhibákra ugrálva hogy előmozdítsák kifinomult támadási programjaikat.
A TP-Link eszközök elleni támadások mérsékelhetők az érintett eszközökhöz elérhető javítás alkalmazásával, és ezt a gyakorlatot kell követni minden más IoT-eszköz esetében, „hogy megóvjuk hálózati környezetüket a fertőzéstől, megakadályozva, hogy a rosszindulatú fenyegetés szereplői botjaivá váljanak” írták a kutatók.
A Fortiguard a különböző botnet-támadásokra vonatkozó kompromisszumjelzőket (IoC) is belefoglalta a bejegyzésébe, beleértve a C2-kiszolgálókat, az URL-eket és a fájlokat, amelyek segíthetik a szerveradminisztrátorokat a támadás azonosításában.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks