מספר רשתות בוטים פוגעות בפגיעות של הזרקת פקודה בת כמעט שנה בנתבים של TP-Link כדי לסכן את המכשירים עבור התקפות מניעת שירות מבוזרות מונעות IoT (DDoS).

יש כבר תיקון לפגם, במעקב כמו CVE-2023-1389, נמצא בממשק ניהול האינטרנט של נתב ה-Wi-Fi TP-Link Archer AX21 (AX1800) ומשפיע על התקנים גרסה 1.1.4 Build 20230219 או קודם לכן.

עם זאת, גורמי איומים מנצלים מכשירים לא מתוקנים כדי לשלוח רשתות בוטים שונות - כולל Moobot, Miori, AGoent, וריאנט גפגיט, וגרסאות של הבוטנט הידוע לשמצה Mirai - שיכולים לסכן את המכשירים עבור DDoS ופעילות מרושעת נוספת, על פי בלוג מ-Fortiguard Labs Threat Research.

"לאחרונה, ראינו התקפות מרובות המתמקדות בפגיעות בת השנה הזו", שכבר נוצלה בעבר על ידי מיראי בוטנט, על פי הפוסט של חוקרי פורטיגארד קארה לין ווינסנט לי. טלמטריית ה-IPS של Fortiguard זיהתה שיאי תעבורה משמעותיים, מה שהתריע בפני החוקרים על הפעילות הזדונית, לדבריהם.

ניצול פגם TP-Link

הפגם יוצר תרחיש שבו אין חיטוי של שדה ה"מדינה" של ממשק הניהול של הנתב, "כך שתוקף יכול לנצל אותו לפעילויות זדוניות ולהשיג דריסת רגל", לפי TP-Link של הייעוץ הביטחוני עבור הפגם.

"זוהי פגיעות לא מאומתת של הזרקת פקודות בממשק ה-API 'מקומי' הזמין דרך ממשק ניהול האינטרנט", הסבירו לין ולי.

כדי לנצל אותו, משתמשים יכולים לשאול את הטופס שצוין "מדינה" ולבצע פעולת "כתיבה", המטופלת על ידי הפונקציה "set_country", הסבירו החוקרים. פונקציה זו קוראת לפונקציה "merge_config_by_country" ומשרשרת את הארגומנט של הטופס שצוין "country" למחרוזת פקודה. מחרוזת זו מבוצעת לאחר מכן על ידי הפונקציה "פופים".

"מכיוון ששדה 'המדינה' לא יתרוקן, התוקף יכול להשיג הזרקת פקודה", כתבו החוקרים.

רשתות בוט למצור

הייעוץ של TP-Link עם חשיפת הפגם בשנה שעברה כללה הכרה בניצול על ידי הבוטנט Mirai. אבל מאז בוטנטים אחרים כמו גם גרסאות שונות של Mirai נקטו מצור נגד מכשירים פגיעים.

האחד הוא Agoent, בוט סוכנים מבוסס גולאנג שתוקף על ידי שליפת תחילה את קובץ הסקריפט "exec.sh" מאתר אינטרנט נשלט על ידי תוקף, אשר לאחר מכן מאחזר את קבצי ה-Executable and Linkable Format (ELF) של ארכיטקטורות שונות המבוססות על לינוקס.

לאחר מכן הבוט מבצע שתי התנהגויות עיקריות: הראשונה היא ליצור את שם המשתמש והסיסמה המארח באמצעות תווים אקראיים, והשנייה היא ליצור קשר עם פקודה ושליטה (C2) כדי להעביר את האישורים שנוצרו זה עתה על ידי תוכנת הזדונית לצורך השתלטות על המכשיר, אמרו החוקרים.

רשת בוט שיוצרת מניעת שירות (DoS) בארכיטקטורות לינוקס הנקראת גרסת Gafgyt תוקפת גם את הפגם של TP-Link על ידי הורדה וביצוע של קובץ סקריפט ולאחר מכן אחזור של קבצי הפעלה של ארכיטקטורת לינוקס עם שם הקובץ הקידומת "לידה מחדש". הבוטנט מקבל אז את היעד IP והמידע על הארכיטקטורה שנפגעו, אותם הוא משרשר למחרוזת שהיא חלק מהודעת החיבור הראשונית שלו, הסבירו החוקרים.

"לאחר יצירת חיבור עם שרת ה-C2 שלו, התוכנה הזדונית מקבלת פקודת 'PING' מתמשכת מהשרת כדי להבטיח התמדה על היעד שנפרץ", כתבו החוקרים. לאחר מכן הוא ממתין לפקודות C2 שונות כדי ליצור התקפות DoS.

רשת הבוט הנקראת Moobot תוקפת גם את הפגם בביצוע התקפות DDoS על כתובות IP מרוחקות באמצעות פקודה משרת C2 של התוקף, אמרו החוקרים. בעוד שהבוטנט מכוון לארכיטקטורות חומרה שונות של IoT, חוקרי Fortiguard ניתחו את קובץ הביצוע של הבוטנט שתוכנן לארכיטקטורת "x86_64" כדי לקבוע את פעילות הניצול שלה, לדבריהם.

A גרסה של מיראי גם מבצעת התקפות DDoS בניצול הפגם על ידי שליחת חבילה משרת C&C כדי לכוון את נקודת הקצה ליזום המתקפה, ציינו החוקרים.

"הפקודה שצוינה היא 0x01 עבור הצפה של Valve Source Engine (VSE), עם משך זמן של 60 שניות (0x3C), המכוונת לכתובת ה-IP של הקורבן שנבחר באקראי ולמספר היציאה 30129", הם הסבירו.

מיורי, גרסה נוספת של מיראי, הצטרפה גם היא למאבק לבצע התקפות בכוח גס על מכשירים שנפגעו, ציינו החוקרים. והם גם צפו בהתקפות של Condi שנותרו בקנה אחד עם גרסה של הבוטנט שהייתה פעילה בשנה שעברה.

המתקפה שומרת על הפונקציה למנוע אתחול מחדש על ידי מחיקת קבצים בינאריים האחראים לכיבוי או אתחול המערכת, וסורקת תהליכים פעילים והצלבות עם מחרוזות מוגדרות מראש כדי לסיים תהליכים עם שמות תואמים, אמרו החוקרים.

תיקון והגנה כדי למנוע DDoS

התקפות Botnet המנצלות פגמים במכשיר כדי למקד לסביבות IoT הן "בלתי פוסקות", ולכן המשתמשים צריכים להיות ערניים מפני רשתות בוטנט DDoS", ציינו החוקרים. אכן, יריבי IoT מקדמים את ההתקפות שלהם על ידי מתנפל על פגמים במכשיר שלא תוקן כדי לקדם את אג'נדות התקיפה המתוחכמות שלהם.

ניתן למתן התקפות נגד מכשירי TP-Link על ידי החלת התיקון הזמין עבור מכשירים מושפעים, ויש לפעול לפי נוהג זה עבור כל מכשירי IoT אחרים "כדי להגן על סביבות הרשת שלהם מפני זיהום, ולמנוע מהם להפוך לבוטים עבור גורמי איומים זדוניים", כתבו חוקרים.

Fortiguard כללה בפוסט שלה גם אינדיקטורים שונים של פשרה (IoCs) עבור התקפות הבוטנט השונות, כולל שרתי C2, כתובות URL וקבצים שיכולים לעזור למנהלי שרתים לזהות התקפה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks