IoT-ഡ്രൈവൺ ഡിസ്ട്രിബ്യൂഡ് ഡിനയൽ ഓഫ് സർവീസ് (DDoS) ആക്രമണങ്ങൾക്കായുള്ള ഉപകരണങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നതിനായി ഒരു ടിപി-ലിങ്ക് റൂട്ടറുകളിൽ ഒരു വർഷത്തോളം പഴക്കമുള്ള കമാൻഡ്-ഇൻജക്ഷൻ കേടുപാടുകൾ നിരവധി ബോട്ട്‌നെറ്റുകൾ അടിച്ചേൽപ്പിക്കുന്നു.

പോരായ്മയ്‌ക്കായി ഇതിനകം ഒരു പാച്ച് ഉണ്ട്, ട്രാക്ക് ചെയ്‌തു CVE-2023-1389, TP-Link Archer AX21 (AX1800) Wi-Fi റൂട്ടറിൻ്റെ വെബ് മാനേജുമെൻ്റ് ഇൻ്റർഫേസിൽ കണ്ടെത്തി, കൂടാതെ ഉപകരണങ്ങളെ ബാധിക്കുന്ന പതിപ്പ് 1.1.4 ബിൽഡ് 20230219 അല്ലെങ്കിൽ അതിന് മുമ്പുള്ളതാണ്.

എന്നിരുന്നാലും, വിവിധ ബോട്ട്‌നെറ്റുകൾ അയയ്‌ക്കുന്നതിന് അൺപാച്ച് ചെയ്യാത്ത ഉപകരണങ്ങളെ ഭീഷണി അഭിനേതാക്കൾ പ്രയോജനപ്പെടുത്തുന്നു - മൂബോട്ട്, മിയോറി, എഗോൻ്റ്, എ. ഗാഫ്ജിറ്റ് വേരിയൻ്റ്, കൂടാതെ കുപ്രസിദ്ധമായ Mirai ബോട്ട്നെറ്റിൻ്റെ വകഭേദങ്ങൾ - അത് DDoS-നുള്ള ഉപകരണങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യാനും കൂടുതൽ മോശമായ പ്രവർത്തനങ്ങൾ നടത്താനും കഴിയും. ഒരു ബ്ലോഗ് പോസ്റ്റ് ഫോർട്ടിഗാർഡ് ലാബ്സ് ത്രെറ്റ് റിസർച്ചിൽ നിന്ന്.

"അടുത്തിടെ, ഈ വർഷം പഴക്കമുള്ള ദുർബലതയെ കേന്ദ്രീകരിച്ചുള്ള ഒന്നിലധികം ആക്രമണങ്ങൾ ഞങ്ങൾ നിരീക്ഷിച്ചു," ഇത് നേരത്തെ തന്നെ ഉപയോഗപ്പെടുത്തിയിരുന്നു. മിറായ് ബോട്ട്നെറ്റ്, ഫോർട്ടിഗാർഡ് ഗവേഷകരായ കാര ലിൻ, വിൻസെൻ്റ് ലി എന്നിവരുടെ പോസ്റ്റ് അനുസരിച്ച്. ഫോർട്ടിഗാർഡിൻ്റെ ഐപിഎസ് ടെലിമെട്രിയിൽ കാര്യമായ ട്രാഫിക് പീക്കുകൾ കണ്ടെത്തിയിട്ടുണ്ട്, ഇത് ഗവേഷകരെ ക്ഷുദ്രകരമായ പ്രവർത്തനത്തെക്കുറിച്ച് മുന്നറിയിപ്പ് നൽകി, അവർ പറഞ്ഞു.

ടിപി-ലിങ്ക് പിഴവ് ചൂഷണം ചെയ്യുന്നു

ടിപി-ലിങ്കിൻ്റെ അഭിപ്രായത്തിൽ, റൂട്ടറിൻ്റെ മാനേജ്‌മെൻ്റ് ഇൻ്റർഫേസിൻ്റെ “കൺട്രി” ഫീൽഡ് അണുവിമുക്തമാക്കാത്ത ഒരു സാഹചര്യം ഈ പിഴവ് സൃഷ്ടിക്കുന്നു, “അതിനാൽ ഒരു ആക്രമണകാരിക്ക് ഇത് ക്ഷുദ്ര പ്രവർത്തനങ്ങൾക്കായി ചൂഷണം ചെയ്യാനും കാലുറപ്പിക്കാനും കഴിയും,” ടിപി-ലിങ്കിൻ്റെ അഭിപ്രായത്തിൽ. സുരക്ഷാ ഉപദേശം പോരായ്മയ്ക്ക്.

“ഇത് വെബ് മാനേജ്‌മെൻ്റ് ഇൻ്റർഫേസ് വഴി ലഭ്യമായ 'ലോക്കേൽ' API-യിലെ ഒരു ആധികാരികതയില്ലാത്ത കമാൻഡ്-ഇൻജക്ഷൻ ദുർബലതയാണ്,” ലിനും ലിയും വിശദീകരിച്ചു.

ഇത് പ്രയോജനപ്പെടുത്തുന്നതിന്, ഉപയോക്താക്കൾക്ക് നിർദ്ദിഷ്ട ഫോം “കൺട്രി” അന്വേഷിക്കാനും “റൈറ്റ്” ഓപ്പറേഷൻ നടത്താനും കഴിയും, അത് “സെറ്റ്_കൺട്രി” ഫംഗ്ഷൻ കൈകാര്യം ചെയ്യുന്നു, ഗവേഷകർ വിശദീകരിച്ചു. ആ ഫംഗ്‌ഷൻ “merge_config_by_country” ഫംഗ്‌ഷനെ വിളിക്കുകയും “country” എന്ന നിർദ്ദിഷ്‌ട ഫോമിൻ്റെ ആർഗ്യുമെൻ്റിനെ ഒരു കമാൻഡ് സ്‌ട്രിംഗിലേക്ക് സംയോജിപ്പിക്കുകയും ചെയ്യുന്നു. ഈ സ്ട്രിംഗ് പിന്നീട് "പോപ്പൺ" ഫംഗ്ഷൻ ഉപയോഗിച്ച് നടപ്പിലാക്കുന്നു.

"രാജ്യം' ഫീൽഡ് ശൂന്യമാകാത്തതിനാൽ, ആക്രമണകാരിക്ക് കമാൻഡ് കുത്തിവയ്പ്പ് നേടാൻ കഴിയും," ഗവേഷകർ എഴുതി.

ഉപരോധത്തിലേക്കുള്ള ബോട്ട്‌നെറ്റുകൾ

കഴിഞ്ഞ വർഷം പിഴവ് വെളിപ്പെടുത്തിയപ്പോൾ ടിപി-ലിങ്കിൻ്റെ ഉപദേശത്തിൽ മിറായ് ബോട്ട്‌നെറ്റിൻ്റെ ചൂഷണത്തിൻ്റെ അംഗീകാരം ഉൾപ്പെടുന്നു. എന്നാൽ അതിനുശേഷം മറ്റ് ബോട്ട്‌നെറ്റുകളും വിവിധ മിറായ് വകഭേദങ്ങളും ദുർബലമായ ഉപകരണങ്ങൾക്കെതിരെ ഉപരോധിച്ചു.

ഒന്ന്, ആക്രമണകാരി നിയന്ത്രിത വെബ്‌സൈറ്റിൽ നിന്ന് "exec.sh" എന്ന സ്‌ക്രിപ്റ്റ് ഫയൽ ലഭ്യമാക്കി ആക്രമിക്കുന്ന ഗോലാംഗ് അധിഷ്‌ഠിത ഏജൻ്റ് ബോട്ട് ആണ്, അത് പിന്നീട് വിവിധ ലിനക്‌സ് അധിഷ്‌ഠിത ആർക്കിടെക്‌ചറുകളുടെ എക്‌സിക്യൂട്ടബിൾ, ലിങ്ക് ചെയ്യാവുന്ന ഫോർമാറ്റ് (ELF) ഫയലുകൾ വീണ്ടെടുക്കുന്നു.

ബോട്ട് പിന്നീട് രണ്ട് പ്രാഥമിക സ്വഭാവങ്ങൾ നടപ്പിലാക്കുന്നു: ആദ്യത്തേത് ക്രമരഹിതമായ പ്രതീകങ്ങൾ ഉപയോഗിച്ച് ഹോസ്റ്റ് ഉപയോക്തൃനാമവും പാസ്‌വേഡും സൃഷ്‌ടിക്കുക, രണ്ടാമത്തേത് ഉപകരണം ഏറ്റെടുക്കുന്നതിനായി ക്ഷുദ്രവെയർ സൃഷ്‌ടിച്ച ക്രെഡൻഷ്യലുകൾ കൈമാറുന്നതിന് കമാൻഡ് ആൻഡ് കൺട്രോൾ (C2) എന്നിവയുമായി ബന്ധം സ്ഥാപിക്കുക, ഗവേഷകർ പറഞ്ഞു.

ലിനക്സ് ആർക്കിടെക്ചറുകളിൽ ഗാഫ്ജിറ്റ് വേരിയൻറ് എന്ന് വിളിക്കപ്പെടുന്ന സേവന നിഷേധം (DoS) സൃഷ്ടിക്കുന്ന ഒരു ബോട്ട്നെറ്റ്, ഒരു സ്‌ക്രിപ്റ്റ് ഫയൽ ഡൗൺലോഡ് ചെയ്ത് എക്‌സിക്യൂട്ട് ചെയ്‌ത് ടിപി-ലിങ്ക് തകരാറിനെ ആക്രമിക്കുന്നു, തുടർന്ന് "പുനർജന്മം" എന്ന പ്രിഫിക്‌സ് ഫയൽ നാമത്തിൽ Linux ആർക്കിടെക്ചർ എക്‌സിക്യൂഷൻ ഫയലുകൾ വീണ്ടെടുക്കുന്നു. ബോട്ട്നെറ്റിന് വിട്ടുവീഴ്ച ചെയ്യപ്പെട്ട ടാർഗെറ്റ് ഐപി, ആർക്കിടെക്ചർ വിവരങ്ങൾ ലഭിക്കുന്നു, അത് അതിൻ്റെ പ്രാരംഭ കണക്ഷൻ സന്ദേശത്തിൻ്റെ ഭാഗമായ ഒരു സ്ട്രിംഗിലേക്ക് സംയോജിപ്പിക്കുന്നു, ഗവേഷകർ വിശദീകരിച്ചു.

“അതിൻ്റെ C2 സെർവറുമായി ഒരു കണക്ഷൻ സ്ഥാപിച്ചതിന് ശേഷം, വിട്ടുവീഴ്ച ചെയ്ത ലക്ഷ്യത്തിലെ സ്ഥിരത ഉറപ്പാക്കാൻ ക്ഷുദ്രവെയറിന് സെർവറിൽ നിന്ന് തുടർച്ചയായ 'പിംഗ്' കമാൻഡ് ലഭിക്കുന്നു,” ഗവേഷകർ എഴുതി. DoS ആക്രമണങ്ങൾ സൃഷ്ടിക്കുന്നതിനായി വിവിധ C2 കമാൻഡുകൾക്കായി ഇത് കാത്തിരിക്കുന്നു.

ആക്രമണകാരിയുടെ C2 സെർവറിൽ നിന്നുള്ള ഒരു കമാൻഡ് വഴി റിമോട്ട് ഐപികളിൽ DDoS ആക്രമണങ്ങൾ നടത്തുന്നതിനുള്ള പിഴവിനെയും മൂബോട്ട് എന്ന് വിളിക്കുന്ന ബോട്ട്‌നെറ്റ് ആക്രമിക്കുന്നതായി ഗവേഷകർ പറഞ്ഞു. ബോട്ട്‌നെറ്റ് വിവിധ ഐഒടി ഹാർഡ്‌വെയർ ആർക്കിടെക്ചറുകളെ ലക്ഷ്യം വയ്ക്കുമ്പോൾ, ഫോർട്ടിഗാർഡ് ഗവേഷകർ ബോട്ട്‌നെറ്റിൻ്റെ എക്‌സിക്യൂഷൻ ഫയൽ വിശകലനം ചെയ്തു, “x86_64” ആർക്കിടെക്ചറിനായി അതിൻ്റെ ചൂഷണ പ്രവർത്തനം നിർണ്ണയിക്കാൻ, അവർ പറഞ്ഞു.

A മിറായിയുടെ വകഭേദം ആക്രമണം ആരംഭിക്കുന്നതിനുള്ള എൻഡ്‌പോയിൻ്റിനെ നയിക്കാൻ സി & സി സെർവറിൽ നിന്ന് ഒരു പാക്കറ്റ് അയച്ചുകൊണ്ട് ന്യൂനത ചൂഷണം ചെയ്യുന്നതിനായി DDoS ആക്രമണങ്ങൾ നടത്തുന്നു, ഗവേഷകർ അഭിപ്രായപ്പെട്ടു.

“ഒരു വാൽവ് സോഴ്‌സ് എഞ്ചിൻ (VSE) വെള്ളപ്പൊക്കത്തിന് 0x01 ആണ് നിർദ്ദേശിച്ചിരിക്കുന്ന കമാൻഡ്, 60 സെക്കൻഡ് (0x3C) ദൈർഘ്യം, ക്രമരഹിതമായി തിരഞ്ഞെടുത്ത ഇരയുടെ IP വിലാസവും പോർട്ട് നമ്പർ 30129 എന്നിവയും ലക്ഷ്യമിടുന്നു,” അവർ വിശദീകരിച്ചു.

വിട്ടുവീഴ്ച ചെയ്ത ഉപകരണങ്ങളിൽ ക്രൂരമായ ആക്രമണം നടത്താൻ മറ്റൊരു മിറായി വേരിയൻ്റായ മിയോറിയും ചേർന്നു, ഗവേഷകർ അഭിപ്രായപ്പെട്ടു. കഴിഞ്ഞ വർഷം സജീവമായിരുന്ന ബോട്ട്‌നെറ്റിൻ്റെ ഒരു പതിപ്പുമായി പൊരുത്തപ്പെടുന്ന കോൺഡിയുടെ ആക്രമണങ്ങളും അവർ നിരീക്ഷിച്ചു.

സിസ്റ്റം ഷട്ട് ഡൗൺ ചെയ്യുന്നതിനോ റീബൂട്ട് ചെയ്യുന്നതിനോ ഉത്തരവാദികളായ ബൈനറികൾ ഇല്ലാതാക്കുന്നതിലൂടെ റീബൂട്ടുകൾ തടയുന്നതിനുള്ള പ്രവർത്തനം ആക്രമണം നിലനിർത്തുന്നു, ഒപ്പം പൊരുത്തപ്പെടുന്ന പേരുകളുള്ള പ്രക്രിയകൾ അവസാനിപ്പിക്കുന്നതിന് മുൻനിർവചിച്ച സ്ട്രിംഗുകൾ ഉപയോഗിച്ച് സജീവമായ പ്രോസസ്സുകളും ക്രോസ്-റഫറൻസുകളും സ്കാൻ ചെയ്യുന്നു, ഗവേഷകർ പറഞ്ഞു.

DDoS ഒഴിവാക്കുന്നതിന് പാച്ച് & പരിരക്ഷിക്കുക

IoT പരിതസ്ഥിതികളെ ടാർഗെറ്റുചെയ്യുന്നതിന് ഉപകരണത്തിൻ്റെ പിഴവുകൾ ചൂഷണം ചെയ്യുന്ന ബോട്ട്‌നെറ്റ് ആക്രമണങ്ങൾ "നിരന്തരമാണ്", അതിനാൽ ഉപയോക്താക്കൾ DDoS ബോട്ട്‌നെറ്റുകൾക്കെതിരെ ജാഗ്രത പാലിക്കണം," ഗവേഷകർ അഭിപ്രായപ്പെട്ടു. തീർച്ചയായും, IoT എതിരാളികൾ അവരുടെ ആക്രമണങ്ങൾ മുന്നോട്ട് കൊണ്ടുപോകുകയാണ് അൺപാച്ച് ചെയ്യാത്ത ഉപകരണത്തിലെ പിഴവുകളിൽ കുതിക്കുന്നു അവരുടെ സങ്കീർണ്ണമായ ആക്രമണ അജണ്ടകൾ മുന്നോട്ട് കൊണ്ടുപോകാൻ.

ടിപി-ലിങ്ക് ഉപകരണങ്ങൾക്കെതിരായ ആക്രമണങ്ങൾ ബാധിത ഉപകരണങ്ങൾക്കായി ലഭ്യമായ പാച്ച് പ്രയോഗിച്ചുകൊണ്ട് ലഘൂകരിക്കാനാകും, കൂടാതെ മറ്റേതെങ്കിലും ഐഒടി ഉപകരണങ്ങൾക്ക് "അവരുടെ നെറ്റ്‌വർക്ക് പരിതസ്ഥിതികളെ അണുബാധയിൽ നിന്ന് സംരക്ഷിക്കുന്നതിനും ക്ഷുദ്രകരമായ ഭീഷണി പ്രവർത്തകർക്ക് ബോട്ടുകളായി മാറുന്നത് തടയുന്നതിനും" ഈ രീതി പിന്തുടരേണ്ടതാണ്. ഗവേഷകർ എഴുതി.

C2 സെർവറുകൾ, URL-കൾ, ആക്രമണം തിരിച്ചറിയാൻ സെർവർ അഡ്മിനിസ്ട്രേറ്റർമാരെ സഹായിക്കുന്ന ഫയലുകൾ എന്നിവയുൾപ്പെടെ വ്യത്യസ്ത ബോട്ട്‌നെറ്റ് ആക്രമണങ്ങൾക്കായുള്ള വിട്ടുവീഴ്ചയുടെ (IoCs) വിവിധ സൂചകങ്ങളും Fortiguard അതിൻ്റെ പോസ്റ്റിൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്.

• SEO പവർ ചെയ്ത ഉള്ളടക്കവും PR വിതരണവും. ഇന്ന് ആംപ്ലിഫൈഡ് നേടുക.
• PlatoData.Network ലംബ ജനറേറ്റീവ് Ai. സ്വയം ശാക്തീകരിക്കുക. ഇവിടെ പ്രവേശിക്കുക.
• PlatoAiStream. Web3 ഇന്റലിജൻസ്. വിജ്ഞാനം വർധിപ്പിച്ചു. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോഇഎസ്ജി. കാർബൺ, ക്ലീൻ ടെക്, ഊർജ്ജം, പരിസ്ഥിതി, സോളാർ, മാലിന്യ സംസ്കരണം. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോ ഹെൽത്ത്. ബയോടെക് ആൻഡ് ക്ലിനിക്കൽ ട്രയൽസ് ഇന്റലിജൻസ്. ഇവിടെ പ്രവേശിക്കുക.
• അവലംബം: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks