En rekke botnettverk slår ut en nesten år gammel sårbarhet for kommandoinjeksjon i en TP-Link-rutere for å kompromittere enhetene for IoT-drevne DDoS-angrep (Distributed Denial of Service).

Det er allerede en oppdatering for feilen, sporet som CVE-2023-1389, funnet i nettadministrasjonsgrensesnittet til TP-Link Archer AX21 (AX1800) Wi-Fi-ruteren og påvirker enheter versjon 1.1.4 Build 20230219 eller tidligere.

Trusselaktører utnytter imidlertid uoppdaterte enheter for å sende forskjellige botnett – inkludert Moobot, Miori, AGoent, en Gafgyt variant, og varianter av det beryktede Mirai-botnettet - som kan kompromittere enhetene for DDoS og ytterligere uhyggelig aktivitet, ifølge et blogginnlegg fra Fortiguard Labs Threat Research.

"Nylig har vi observert flere angrep med fokus på denne år gamle sårbarheten," som allerede tidligere ble utnyttet av Mirai botnet, ifølge innlegget fra Fortiguard-forskerne Cara Lin og Vincent Li. Fortiguards IPS-telemetri har oppdaget betydelige trafikktopper, som varslet forskerne om den ondsinnede aktiviteten, sa de.

Utnytter TP-Link-feilen

Feilen skaper et scenario der det ikke er noen sanering av "Country"-feltet i ruterens administrasjonsgrensesnitt, "slik at en angriper kan utnytte det til ondsinnede aktiviteter og få fotfeste," ifølge TP-Links sikkerhetsrådgivende for feilen.

"Dette er en uautentisert kommando-injeksjonssårbarhet i 'locale' API tilgjengelig via webadministrasjonsgrensesnittet," forklarte Lin og Li.

For å utnytte det, kan brukere spørre i det spesifiserte skjemaet «land» og utføre en «skrive»-operasjon, som håndteres av «set_country»-funksjonen, forklarte forskerne. Denne funksjonen kaller «merge_config_by_country»-funksjonen og kobler sammen argumentet til den spesifiserte formen «country» til en kommandostreng. Denne strengen utføres deretter av "pop"-funksjonen.

"Siden 'land'-feltet ikke vil bli tømt, kan angriperen oppnå kommandoinjeksjon," skrev forskerne.

Botnett til beleiringen

TP-Links råd da feilen ble avslørt i fjor inkluderte en erkjennelse av utnyttelse av Mirai-botnettet. Men siden den gang har andre botnett så vel som ulike Mirai-varianter også beleiret sårbare enheter.

Den ene er Agoent, en Golang-basert agent-bot som angriper ved først å hente skriptfilen «exec.sh» fra et angriperkontrollert nettsted, som deretter henter filene i Executable and Linkable Format (ELF) fra forskjellige Linux-baserte arkitekturer.

Boten utfører deretter to primære virkemåter: den første er å lage vertsbrukernavnet og passordet ved å bruke tilfeldige tegn, og det andre er å etablere forbindelse med kommando og kontroll (C2) for å videreformidle legitimasjonen som nettopp er opprettet av skadevare for enhetsovertakelse, sa forskerne.

Et botnett som skaper tjenestenekt (DoS) i Linux-arkitekturer kalt Gafgyt-varianten angriper også TP-Link-feilen ved å laste ned og kjøre en skriptfil og deretter hente Linux-arkitekturutførelsesfiler med prefikset filnavnet "rebirth." Botnettet får deretter den kompromitterte mål-IP-en og arkitekturinformasjonen, som den kobler sammen til en streng som er en del av den første tilkoblingsmeldingen, forklarte forskerne.

"Etter å ha etablert en forbindelse med sin C2-server, mottar skadevaren en kontinuerlig 'PING'-kommando fra serveren for å sikre utholdenhet på det kompromitterte målet," skrev forskerne. Den venter deretter på forskjellige C2-kommandoer for å lage DoS-angrep.

Botnettet kalt Moobot angriper også feilen med å utføre DDoS-angrep på eksterne IP-er via en kommando fra angriperens C2-server, sa forskerne. Mens botnettet retter seg mot ulike IoT-maskinvarearkitekturer, analyserte Fortiguard-forskere botnettets utførelsesfil designet for "x86_64"-arkitekturen for å bestemme utnyttelsesaktiviteten, sa de.

A variant av Mirai utfører også DDoS-angrep i sin utnyttelse av feilen ved å sende en pakke fra C&C-serveren for å lede endepunktet til å starte angrepet, bemerket forskerne.

"Kommandoen som er spesifisert er 0x01 for en Valve Source Engine (VSE) flom, med en varighet på 60 sekunder (0x3C), rettet mot et tilfeldig utvalgt offers IP-adresse og portnummeret 30129," forklarte de.

Miori, en annen Mirai-variant, har også sluttet seg til kampen for å utføre brute-force-angrep på kompromitterte enheter, bemerket forskerne. Og de observerte også angrep fra Condi som forblir i samsvar med en versjon av botnettet som var aktiv i fjor.

Angrepet beholder funksjonen for å forhindre omstart ved å slette binærfiler som er ansvarlige for å slå av eller starte systemet på nytt, og skanner aktive prosesser og kryssreferanser med forhåndsdefinerte strenger for å avslutte prosesser med samsvarende navn, sa forskerne.

Patch & Beskytt for å unngå DDoS

Botnett-angrep som utnytter enhetsfeil for å målrette IoT-miljøer er "ubarmhjertige", og derfor bør brukere være på vakt mot DDoS-botnett, bemerket forskerne. Faktisk fremmer IoT-motstandere sine angrep kastet på uopprettede enhetsfeil for å fremme deres sofistikerte angrepsagendaer.

Angrep mot TP-Link-enheter kan reduseres ved å bruke den tilgjengelige oppdateringen for berørte enheter, og denne praksisen bør følges for alle andre IoT-enheter "for å beskytte nettverksmiljøene deres mot infeksjon, og hindre dem fra å bli roboter for ondsinnede trusselaktører," skrev forskere.

Fortiguard inkluderte også i sitt innlegg forskjellige indikatorer på kompromiss (IoCs) for de forskjellige botnett-angrepene, inkludert C2-servere, URL-er og filer som kan hjelpe serveradministratorer med å identifisere et angrep.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks