Varie botnet colpiscono la falla TP-Link vecchia di un anno negli attacchi IoT

Numerose botnet stanno colpendo una vulnerabilità di quasi un anno fa di command-injection nei router TP-Link per compromettere i dispositivi per attacchi DDoS (Distributed Denial of Service) basati sull'IoT.

Esiste già una patch per il difetto, indicata come CVE-2023-1389, presente nell'interfaccia di gestione Web del router Wi-Fi TP-Link Archer AX21 (AX1800) e che interessa i dispositivi versione 1.1.4 build 20230219 o precedente.

Tuttavia, gli autori delle minacce stanno sfruttando i dispositivi privi di patch per inviare varie botnet, tra cui Moobot, Miori, AGoent, un Variante Gafgyte varianti della famigerata botnet Mirai, che possono compromettere i dispositivi per attacchi DDoS e altre attività nefaste, secondo un post sul blog dalla ricerca sulle minacce di Fortiguard Labs.

"Recentemente, abbiamo osservato numerosi attacchi concentrati su questa vulnerabilità vecchia di un anno", che era già stata sfruttata in precedenza da in Botnet Mirai, secondo il post dei ricercatori Fortiguard Cara Lin e Vincent Li. La telemetria IPS di Fortiguard ha rilevato picchi di traffico significativi, che hanno allertato i ricercatori dell'attività dannosa, hanno affermato.

Sfruttare il difetto TP-Link

La falla crea uno scenario in cui non vi è alcuna sanificazione del campo "Paese" dell'interfaccia di gestione del router, "in modo che un utente malintenzionato possa sfruttarlo per attività dannose e prendere piede", secondo TP-Link. consulenza sulla sicurezza per il difetto.

"Si tratta di una vulnerabilità di inserimento di comandi non autenticati nell'API 'locale' disponibile tramite l'interfaccia di gestione web", hanno spiegato Lin e Li.

Per sfruttarlo, gli utenti possono interrogare il modulo specificato "paese" ed eseguire un'operazione di "scrittura", che è gestita dalla funzione "set_country", hanno spiegato i ricercatori. Quella funzione chiama la funzione "merge_config_by_country" e concatena l'argomento della forma specificata "country" in una stringa di comando. Questa stringa viene quindi eseguita dalla funzione “popen”.

"Poiché il campo 'Paese' non verrà svuotato, l'aggressore potrà ottenere l'iniezione di comando", hanno scritto i ricercatori.

Botnet all'assedio

L'avviso di TP-Link quando la falla è stata rivelata lo scorso anno includeva il riconoscimento dello sfruttamento da parte della botnet Mirai. Ma da allora anche altre botnet e diverse varianti Mirai hanno preso d'assalto i dispositivi vulnerabili.

Uno è Agoent, un bot agente basato su Golang che attacca recuperando prima il file di script “exec.sh” da un sito Web controllato dall’aggressore, che poi recupera i file ELF (Executable and Linkable Format) di diverse architetture basate su Linux.

Il bot esegue quindi due comportamenti principali: il primo è creare il nome utente e la password dell'host utilizzando caratteri casuali, il secondo è stabilire una connessione con comando e controllo (C2) per trasmettere le credenziali appena create dal malware per il controllo del dispositivo, hanno detto i ricercatori.

Anche una botnet che crea Denial of Service (DoS) nelle architetture Linux chiamata variante Gafgyt sta attaccando la falla TP-Link scaricando ed eseguendo un file di script e quindi recuperando i file di esecuzione dell'architettura Linux con il nome file prefisso "rebirth". La botnet ottiene quindi l'IP target compromesso e le informazioni sull'architettura, che concatena in una stringa che fa parte del suo messaggio di connessione iniziale, hanno spiegato i ricercatori.

"Dopo aver stabilito una connessione con il suo server C2, il malware riceve un comando 'PING' continuo dal server per garantire la persistenza sull'obiettivo compromesso", hanno scritto i ricercatori. Quindi attende vari comandi C2 per creare attacchi DoS.

Anche la botnet chiamata Moobot sta attaccando la falla per condurre attacchi DDoS su IP remoti tramite un comando dal server C2 dell'aggressore, hanno detto i ricercatori. Mentre la botnet prende di mira varie architetture hardware IoT, i ricercatori di Fortiguard hanno analizzato il file di esecuzione della botnet progettato per l'architettura "x86_64" per determinarne l'attività di sfruttamento.

A variante di Mirai sta inoltre conducendo attacchi DDoS sfruttando la falla inviando un pacchetto dal server C&C per indirizzare l'endpoint ad avviare l'attacco, hanno osservato i ricercatori.

"Il comando specificato è 0x01 per un'ondata di Valve Source Engine (VSE), della durata di 60 secondi (0x3C), che prende di mira l'indirizzo IP di una vittima selezionata casualmente e il numero di porta 30129", hanno spiegato.

Anche Miori, un’altra variante Mirai, si è unita alla mischia per condurre attacchi di forza bruta su dispositivi compromessi, hanno osservato i ricercatori. E hanno anche osservato attacchi di Condi che rimangono coerenti con una versione della botnet attiva l’anno scorso.

L'attacco mantiene la funzione di impedire i riavvii eliminando i file binari responsabili dello spegnimento o del riavvio del sistema e scansiona i processi attivi e i riferimenti incrociati con stringhe predefinite per terminare i processi con nomi corrispondenti, hanno detto i ricercatori.

Patch e protezione per evitare attacchi DDoS

Gli attacchi botnet che sfruttano i difetti dei dispositivi per prendere di mira gli ambienti IoT sono “implacabili” e quindi gli utenti dovrebbero essere vigili contro le botnet DDoS”, hanno osservato i ricercatori. In effetti, gli avversari dell’IoT stanno avanzando i loro attacchi avventarsi sui difetti dei dispositivi senza patch per promuovere i loro sofisticati programmi di attacco.

Gli attacchi contro i dispositivi TP-Link possono essere mitigati applicando la patch disponibile per i dispositivi interessati, e questa pratica dovrebbe essere seguita per qualsiasi altro dispositivo IoT “per salvaguardare i propri ambienti di rete dalle infezioni, impedendo che diventino bot per autori di minacce dannose”, ha affermato. hanno scritto i ricercatori.

Fortiguard ha inoltre incluso nel suo post vari indicatori di compromissione (IoC) per i diversi attacchi botnet, inclusi server C2, URL e file che possono aiutare gli amministratori dei server a identificare un attacco.

Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
Fonte: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks

Intelligenza generativa dei dati

Varie botnet colpiscono il difetto TP-Link vecchio di un anno negli attacchi IoT

Sfruttare il difetto TP-Link

Botnet all'assedio

Patch e protezione per evitare attacchi DDoS

Le migliori caramelle gommose al CBD per alleviare l'ansia nel 2024 – Connessione al programma sulla marijuana medica

RIV Capital riporta i risultati finanziari per il trimestre fiscale e i nove mesi

L'ultima intelligenza

Grown Rogue riporta i risultati finanziari verificati

Una panoramica dei metodi di acquisizione automatizzata dei dati

Navigazione nei contratti di locazione commerciale di cannabis a Washington

SES, con sede a Parigi, acquista Intelsat per 3.1 miliardi di dollari mentre le società satellitari europee si consolidano: Tech Startups

Agent Simulator offre formazione per agenti segreti VR FPS su Quest

La fine dell’inquinamento da plastica: come le aziende possono rendere operativa la circolarità | GreenBiz