Sejumlah botnet menyerang kerentanan injeksi perintah yang sudah hampir berumur satu tahun di router TP-Link untuk menyusupi perangkat terhadap serangan penolakan layanan terdistribusi (DDoS) yang digerakkan oleh IoT.

Sudah ada tambalan untuk cacatnya, dilacak sebagai CVE-2023-1389, ditemukan di antarmuka manajemen Web router Wi-Fi TP-Link Archer AX21 (AX1800) dan memengaruhi perangkat Versi 1.1.4 Build 20230219 atau sebelumnya.

Namun, pelaku ancaman memanfaatkan perangkat yang belum ditambal untuk mengirimkan berbagai botnet — termasuk Moobot, Miori, AGoent, a Varian Gafgyt, dan varian botnet Mirai yang terkenal — yang dapat membahayakan perangkat untuk DDoS dan aktivitas jahat lebih lanjut, menurut posting blog dari Penelitian Ancaman Fortiguard Labs.

“Baru-baru ini, kami mengamati beberapa serangan yang berfokus pada kerentanan yang sudah berumur satu tahun ini,” yang sebelumnya telah dieksploitasi oleh pihak dalam Mirai botnet, menurut postingan peneliti Fortiguard Cara Lin dan Vincent Li. Telemetri IPS Fortiguard telah mendeteksi puncak lalu lintas yang signifikan, yang mengingatkan para peneliti akan aktivitas jahat tersebut, kata mereka.

Memanfaatkan Cacat TP-Link

Cacat ini menciptakan skenario di mana tidak ada sanitasi pada bidang “Negara” pada antarmuka manajemen router, “sehingga penyerang dapat mengeksploitasinya untuk aktivitas jahat dan mendapatkan pijakan,” menurut TP-Link. penasehat keamanan untuk kekurangannya.

“Ini adalah kerentanan injeksi perintah yang tidak diautentikasi di API 'lokal' yang tersedia melalui antarmuka manajemen web,” jelas Lin dan Li.

Untuk mengeksploitasinya, pengguna dapat menanyakan formulir “negara” yang ditentukan dan melakukan operasi “tulis”, yang ditangani oleh fungsi “set_country”, jelas para peneliti. Fungsi tersebut memanggil fungsi “merge_config_by_country” dan menggabungkan argumen dari bentuk “negara” yang ditentukan ke dalam string perintah. String ini kemudian dieksekusi oleh fungsi “popen”.

“Karena kolom 'negara' tidak akan dikosongkan, penyerang dapat melakukan injeksi perintah,” tulis para peneliti.

Botnet untuk Pengepungan

Peringatan TP-Link ketika kelemahan tersebut terungkap tahun lalu termasuk pengakuan eksploitasi oleh botnet Mirai. Namun sejak itu botnet lain serta berbagai varian Mirai juga menyerang perangkat yang rentan.

Salah satunya adalah Agoent, bot agen berbasis Golang yang menyerang dengan terlebih dahulu mengambil file skrip “exec.sh” dari situs web yang dikendalikan penyerang, yang kemudian mengambil file Executable and Linkable Format (ELF) dari berbagai arsitektur berbasis Linux.

Bot kemudian menjalankan dua perilaku utama: yang pertama adalah membuat nama pengguna dan kata sandi host menggunakan karakter acak, dan yang kedua adalah membuat koneksi dengan perintah dan kontrol (C2) untuk meneruskan kredensial yang baru saja dibuat oleh malware untuk pengambilalihan perangkat, kata para peneliti.

Botnet yang menciptakan penolakan layanan (DoS) dalam arsitektur Linux yang disebut varian Gafgyt juga menyerang kelemahan TP-Link dengan mengunduh dan mengeksekusi file skrip dan kemudian mengambil file eksekusi arsitektur Linux dengan awalan nama file “rebirth.” Botnet kemudian mendapatkan informasi IP target dan arsitektur yang dikompromikan, yang digabungkan menjadi string yang merupakan bagian dari pesan koneksi awalnya, jelas para peneliti.

“Setelah membuat koneksi dengan server C2, malware menerima perintah 'PING' terus menerus dari server untuk memastikan persistensi pada target yang disusupi,” tulis para peneliti. Ia kemudian menunggu berbagai perintah C2 untuk membuat serangan DoS.

Botnet yang disebut Moobot juga menyerang kelemahan tersebut untuk melakukan serangan DDoS pada IP jarak jauh melalui perintah dari server C2 penyerang, kata para peneliti. Sementara botnet menargetkan berbagai arsitektur perangkat keras IoT, peneliti Fortiguard menganalisis file eksekusi botnet yang dirancang untuk arsitektur “x86_64” untuk menentukan aktivitas eksploitasinya, kata mereka.

A varian Mirai juga melakukan serangan DDoS dalam mengeksploitasi kelemahan tersebut dengan mengirimkan paket dari server C&C untuk mengarahkan titik akhir untuk memulai serangan, catat para peneliti.

“Perintah yang ditentukan adalah 0x01 untuk banjir Valve Source Engine (VSE), dengan durasi 60 detik (0x3C), menargetkan alamat IP korban yang dipilih secara acak dan nomor port 30129,” jelas mereka.

Miori, varian Mirai lainnya, juga ikut serta melakukan serangan brute force pada perangkat yang disusupi, catat para peneliti. Dan mereka juga mengamati serangan Condi yang tetap konsisten dengan versi botnet yang aktif tahun lalu.

Serangan tersebut mempertahankan fungsi untuk mencegah reboot dengan menghapus binari yang bertanggung jawab untuk mematikan atau me-reboot sistem, dan memindai proses aktif dan referensi silang dengan string yang telah ditentukan untuk menghentikan proses dengan nama yang cocok, kata para peneliti.

Tambal & Lindungi untuk Menghindari DDoS

Serangan botnet yang mengeksploitasi kelemahan perangkat untuk menargetkan lingkungan IoT terjadi “tanpa henti,” dan oleh karena itu pengguna harus waspada terhadap botnet DDoS,” kata para peneliti. Memang benar bahwa musuh-musuh IoT sedang melancarkan serangan mereka menerkam kelemahan perangkat yang belum ditambal untuk melanjutkan agenda serangan canggih mereka.

Serangan terhadap perangkat TP-Link dapat dikurangi dengan menerapkan patch yang tersedia untuk perangkat yang terkena dampak, dan praktik ini harus diikuti untuk perangkat IoT lainnya “untuk melindungi lingkungan jaringan mereka dari infeksi, mencegah mereka menjadi bot bagi pelaku ancaman jahat,” tulis peneliti.

Fortiguard juga menyertakan dalam postingannya berbagai indikator kompromi (IoC) untuk berbagai serangan botnet, termasuk server C2, URL, dan file yang dapat membantu administrator server mengidentifikasi serangan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks