多くのボットネットが、TP-Link ルーターのほぼ 1 年前から存在するコマンド インジェクションの脆弱性を攻撃し、IoT 主導の分散型サービス拒否 (DDoS) 攻撃でデバイスを侵害しています。

この欠陥に対するパッチはすでに存在しており、次のように追跡されています。 CVE-2023-1389、TP-Link Archer AX21 (AX1800) Wi-Fi ルーターの Web 管理インターフェイスにあり、バージョン 1.1.4 ビルド 20230219 以前のデバイスに影響します。

しかし、攻撃者はパッチが適用されていないデバイスを利用して、Moobot、Miori、AGoent、 ガフジットの亜種、悪名高い Mirai ボットネットの亜種 — によると、DDoS やさらなる不正活動のためにデバイスを侵害する可能性があります。 ブログ投稿 Fortiguard Labs の脅威調査による。

「最近、この 1 年前の脆弱性に焦点を当てた複数の攻撃が観察されました。」 未来ボットネット、フォーティガードの研究者Cara Lin氏とVincent Li氏の投稿によると。 FortiguardのIPSテレメトリは重大なトラフィックのピークを検出し、研究者らに悪意のある活動について警告したと彼らは述べた。

TP-Linkの欠陥の悪用

TP-Link によると、この欠陥により、ルーターの管理インターフェイスの「国」フィールドがサニタイズされていないシナリオが作成され、「攻撃者が悪意のある活動に悪用し、足がかりを得ることができる」という。 セキュリティ勧告 欠陥のために。

「これは、Web 管理インターフェイス経由で利用できる『ロケール』 API における認証されていないコマンド インジェクションの脆弱性です」と Lin 氏と Li 氏は説明しました。

これを悪用するには、ユーザーは指定されたフォーム「country」をクエリし、「set_country」関数によって処理される「write」操作を実行できると研究者らは説明した。この関数は「merge_config_by_country」関数を呼び出し、指定された形式「country」の引数をコマンド文字列に連結します。この文字列は「popen」関数によって実行されます。

「『国』フィールドは空にならないため、攻撃者はコマンドインジェクションを実行できる」と研究者らは書いている。

ボットネットによる包囲攻撃

昨年この欠陥が明らかになったときのTP-Linkの勧告には、Miraiボットネットによる悪用を認める内容が含まれていた。しかしそれ以来、他のボットネットやさまざまな Mirai の亜種も脆弱なデバイスを攻撃するようになりました。

1 つは Golang ベースのエージェント ボットである Agoent で、最初に攻撃者が制御する Web サイトからスクリプト ファイル「exec.sh」をフェッチして攻撃し、その後、さまざまな Linux ベース アーキテクチャの実行可能およびリンク可能フォーマット (ELF) ファイルを取得します。

次に、ボットは 2 つの主要な動作を実行します。XNUMX つ目は、ランダムな文字を使用してホストのユーザー名とパスワードを作成することです。XNUMX つ目は、コマンド アンド コントロール (CXNUMX) との接続を確立して、デバイス乗っ取りのためにマルウェアによって作成された認証情報を渡すことです。研究者らは語った。

Linux アーキテクチャでサービス拒否 (DoS) を引き起こす Gafgyt 亜種と呼ばれるボットネットも、スクリプト ファイルをダウンロードして実行し、ファイル名にプレフィックス「rebirth」が付いた Linux アーキテクチャ実行ファイルを取得することで TP-Link の欠陥を攻撃しています。その後、ボットネットは侵害されたターゲット IP とアーキテクチャ情報を取得し、それらを連結して初期接続メッセージの一部となる文字列にする、と研究者らは説明しました。

「C2サーバーとの接続を確立した後、マルウェアはサーバーから継続的に『PING』コマンドを受信し、侵害されたターゲット上での持続性を確保します」と研究者らは書いている。次に、さまざまな C2 コマンドが DoS 攻撃を作成するのを待ちます。

Moobotと呼ばれるボットネットもこの脆弱性を攻撃し、攻撃者のC2サーバーからのコマンドを介してリモートIPにDDoS攻撃を実行していると研究者らは述べた。このボットネットはさまざまな IoT ハードウェア アーキテクチャを標的としていますが、Fortiguard の研究者らは、「x86_64」アーキテクチャ向けに設計されたボットネットの実行ファイルを分析して、その悪用活動を特定したと述べています。

A ミライの異形 また、C&C サーバーからパケットを送信してエンドポイントに攻撃を開始するよう指示することで、この欠陥を悪用して DDoS 攻撃を行っていると研究者らは指摘しました。

「指定されたコマンドは、Valve Source Engine (VSE) フラッド用の 0x01 で、持続時間は 60 秒 (0x3C) で、ランダムに選択された被害者の IP アドレスとポート番号 30129 をターゲットにしています」と彼らは説明しました。

Miraiの別の亜種であるMioriも、侵害されたデバイスに対してブルートフォース攻撃を実行するために争いに加わっていると研究者らは指摘した。また、昨年活動していたボットネットのバージョンと一致する Condi による攻撃も観察されました。

研究者らによると、この攻撃は、システムのシャットダウンや再起動の原因となるバイナリを削除することで再起動を防ぐ機能を保持しており、アクティブなプロセスと事前定義された文字列による相互参照をスキャンして、名前が一致するプロセスを終了させるという。

DDoS を回避するためにパッチを適用して保護する

デバイスの欠陥を悪用してIoT環境を狙うボットネット攻撃は「容赦なく」行われるため、ユーザーはDDoSボットネットに対して警戒する必要がある」と研究者らは指摘した。実際、IoT 攻撃者は次のような方法で攻撃を進めています。 パッチが適用されていないデバイスの欠陥に襲いかかる 彼らの洗練された攻撃計画をさらに推進するために。

TP-Link デバイスに対する攻撃は、影響を受けるデバイスに利用可能なパッチを適用することで軽減できます。「ネットワーク環境を感染から守り、悪意のある攻撃者のボットになるのを防ぐために」他の IoT デバイスにもこの慣行に従う必要があります。研究者らは書いている。

Fortiguard は、サーバー管理者が攻撃を特定するのに役立つ C2 サーバー、URL、ファイルなど、さまざまなボットネット攻撃のさまざまな侵害指標 (IoC) も投稿に含めました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks