Verschillende botnets bestrijden een jaar oude TP-Link-fout bij IoT-aanvallen

Een aantal botnets maken misbruik van een bijna een jaar oude opdrachtinjectiekwetsbaarheid in TP-Link-routers om de apparaten in gevaar te brengen voor IoT-gestuurde gedistribueerde denial of service (DDoS)-aanvallen.

Er is al een patch voor de fout, bijgehouden als CVE-2023-1389, te vinden in de webbeheerinterface van de TP-Link Archer AX21 (AX1800) Wi-Fi-router en die van invloed is op apparaten Versie 1.1.4 Build 20230219 of eerder.

Bedreigingsactoren maken echter misbruik van niet-gepatchte apparaten om verschillende botnets uit te zenden – waaronder Moobot, Miori, AGoent, een Gafgyt-variant, en varianten van het beruchte Mirai-botnet – die de apparaten kunnen compromitteren voor DDoS en verdere snode activiteiten, aldus een blog post van Fortiguard Labs Bedreigingsonderzoek.

“Onlangs hebben we meerdere aanvallen waargenomen die zich richtten op deze een jaar oude kwetsbaarheid”, die al eerder door de in Mirai-botnet, volgens het bericht van Fortiguard-onderzoekers Cara Lin en Vincent Li. De IPS-telemetrie van Fortiguard heeft aanzienlijke verkeerspieken gedetecteerd, die de onderzoekers op de hoogte brachten van de kwaadaardige activiteit, zeiden ze.

Het misbruiken van de TP-Link-fout

De fout creëert een scenario waarin het ‘Land’-veld van de beheerinterface van de router niet wordt opgeschoond, ‘zodat een aanvaller het kan misbruiken voor kwaadaardige activiteiten en voet aan de grond kan krijgen’, aldus het rapport van TP-Link. beveiligingsadvies voor de fout.

"Dit is een niet-geauthenticeerde kwetsbaarheid voor opdrachtinjectie in de 'locale' API die beschikbaar is via de webbeheerinterface", legden Lin en Li uit.

Om er misbruik van te maken, kunnen gebruikers het opgegeven formulier ‘land’ opvragen en een ‘schrijf’-bewerking uitvoeren, die wordt afgehandeld door de functie ‘set_country’, legden de onderzoekers uit. Die functie roept de functie “merge_config_by_country” aan en voegt het argument van de opgegeven vorm “country” samen in een opdrachtreeks. Deze string wordt vervolgens uitgevoerd door de functie “popen”.

“Aangezien het 'land'-veld niet wordt geleegd, kan de aanvaller commando-injectie bewerkstelligen', schreven de onderzoekers.

Botnets voor het beleg

Het advies van TP-Link toen de fout vorig jaar werd onthuld, omvatte onder meer de erkenning van uitbuiting door het Mirai-botnet. Maar sindsdien hebben ook andere botnets en verschillende Mirai-varianten kwetsbare apparaten belegerd.

De ene is Agoent, een op Golang gebaseerde agentbot die aanvalt door eerst het scriptbestand ‘exec.sh’ op te halen van een door de aanvaller bestuurde website, die vervolgens de Executable and Linkable Format (ELF)-bestanden van verschillende Linux-gebaseerde architecturen ophaalt.

De bot voert vervolgens twee primaire gedragingen uit: de eerste is het aanmaken van de gebruikersnaam en het wachtwoord van de host met behulp van willekeurige tekens, en de tweede is het tot stand brengen van een verbinding met Command and Control (C2) om de inloggegevens door te geven die zojuist door de malware zijn aangemaakt voor apparaatovername. zeiden de onderzoekers.

Een botnet dat Denial of Service (DoS) creëert in Linux-architecturen, de Gafgyt-variant genaamd, valt ook de TP-Link-fout aan door een scriptbestand te downloaden en uit te voeren en vervolgens uitvoeringsbestanden voor de Linux-architectuur op te halen met het voorvoegsel bestandsnaam ‘rebirth’. Het botnet krijgt vervolgens het gecompromitteerde doel-IP-adres en de architectuurinformatie, die het samenvoegt tot een string die deel uitmaakt van het initiële verbindingsbericht, legden de onderzoekers uit.

“Na het tot stand brengen van een verbinding met de C2-server ontvangt de malware een continu ‘PING’-commando van de server om persistentie op het aangetaste doelwit te garanderen”, schreven de onderzoekers. Vervolgens wacht het op verschillende C2-opdrachten om DoS-aanvallen te creëren.

Het botnet genaamd Moobot valt ook de fout aan om DDoS-aanvallen uit te voeren op externe IP's via een commando van de C2-server van de aanvaller, aldus de onderzoekers. Terwijl het botnet zich richt op verschillende IoT-hardware-architecturen, analyseerden Fortiguard-onderzoekers het uitvoeringsbestand van het botnet, ontworpen voor de “x86_64”-architectuur, om de exploitatieactiviteit ervan te bepalen, zeiden ze.

A variant van Mirai voert ook DDoS-aanvallen uit om de fout te exploiteren door een pakket vanaf de C&C-server te verzenden om het eindpunt opdracht te geven de aanval te initiëren, merkten de onderzoekers op.

“Het gespecificeerde commando is 0x01 voor een Valve Source Engine (VSE) flood, met een duur van 60 seconden (0x3C), gericht op het IP-adres van een willekeurig geselecteerd slachtoffer en het poortnummer 30129”, legden ze uit.

Miori, een andere Mirai-variant, heeft zich ook aangesloten bij de strijd om brute-force-aanvallen uit te voeren op gecompromitteerde apparaten, merkten de onderzoekers op. En ze observeerden ook aanvallen van Condi die consistent blijven met een versie van het botnet die vorig jaar actief was.

De aanval behoudt de functie om herstarten te voorkomen door binaire bestanden te verwijderen die verantwoordelijk zijn voor het afsluiten of opnieuw opstarten van het systeem, en scant actieve processen en kruisverwijzingen met vooraf gedefinieerde strings om processen met overeenkomende namen te beëindigen, aldus de onderzoekers.

Patch & Protect om DDoS te voorkomen

Botnetaanvallen die gebruik maken van apparaatfouten om zich op IoT-omgevingen te richten, zijn ‘meedogenloos’ en gebruikers moeten dus waakzaam zijn tegen DDoS-botnets, aldus de onderzoekers. IoT-tegenstanders voeren hun aanvallen zelfs verder uit het aanvallen op niet-gepatchte apparaatfouten om hun geavanceerde aanvalsagenda’s te bevorderen.

Aanvallen op TP-Link-apparaten kunnen worden beperkt door de beschikbare patch voor getroffen apparaten toe te passen, en deze praktijk moet worden gevolgd voor alle andere IoT-apparaten “om hun netwerkomgevingen te beschermen tegen infecties en te voorkomen dat ze bots worden voor kwaadwillende bedreigingsactoren”, aldus de woordvoerder. onderzoekers schreven.

Fortiguard heeft in zijn bericht ook verschillende indicatoren van compromissen (IoC's) opgenomen voor de verschillende botnetaanvallen, waaronder C2-servers, URL's en bestanden die serverbeheerders kunnen helpen een aanval te identificeren.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks

Generatieve data-intelligentie

Diverse botnets bestrijden een jaar oude TP-Link-fout bij IoT-aanvallen

Het misbruiken van de TP-Link-fout

Botnets voor het beleg

Patch & Protect om DDoS te voorkomen

Geschiedenis: DEA stemt ermee in om marihuana naar Schedule III te verplaatsen

Zondagavond Berwick-verkeersstop wegens te hard rijden eindigt in marihuana-arrestatie - Medical Marijuana Program Connection

Laatste intelligentie

RIV Capital rapporteert financiële resultaten voor het fiscale kwartaal en de negen maanden

RIV Capital rapporteert financiële resultaten voor het fiscale kwartaal en de negen maanden

RIV Capital rapporteert financiële resultaten voor het fiscale kwartaal en de negen maanden

Grown Rogue Reports gecontroleerde financiële resultaten

Een overzicht van geautomatiseerde methoden voor het vastleggen van gegevens

Navigeren door commerciële leaseovereenkomsten voor cannabis in Washington