Logo Zephyrnet

Generatywna analiza danych

Bezpieczeństwo cybernetyczne

Różne botnety atakują wieloletnią lukę TP-Link w atakach IoT

Opublikowane ponownie przez Plato
Opublikowane ponownie przez Plato

Data:

Odwiedzin: 79

Szereg botnetów wykorzystuje istniejącą od prawie roku lukę w zabezpieczeniach routerów TP-Link polegającą na wstrzykiwaniu poleceń w celu naruszenia bezpieczeństwa urządzeń w celu przeprowadzenia ataków DDoS opartych na IoT.

Istnieje już łatka usuwająca usterkę, śledzoną jako CVE-2023-1389, znajdujący się w internetowym interfejsie zarządzania routera Wi-Fi TP-Link Archer AX21 (AX1800) i wpływający na urządzenia w wersji 1.1.4 Build 20230219 lub wcześniejszej.

Jednak ugrupowania zagrażające wykorzystują niezałatane urządzenia do wysyłania różnych botnetów — w tym Moobot, Miori, AGoent, Wariant Gafgytaoraz warianty niesławnego botnetu Mirai — które według opinii mogą narażać urządzenia na ataki DDoS i dalsze nikczemne działania. blogu z badania zagrożeń Fortiguard Labs.

„Ostatnio zaobserwowaliśmy wiele ataków skupiających się na tej luce sprzed roku”, która była już wcześniej wykorzystywana przez firmę in Botnet Miraijak wynika z postu badaczy Fortiguard, Cary Lin i Vincenta Li. Jak twierdzą, telemetria IPS firmy Fortiguard wykryła znaczne szczyty ruchu, co zaalarmowało badaczy o szkodliwej aktywności.

Luka stwarza scenariusz, w którym nie następuje oczyszczenie pola „Kraj” w interfejsie zarządzania routera, „aby osoba atakująca mogła wykorzystać je do szkodliwych działań i zdobyć przyczółek” – twierdzi TP-Link doradztwo bezpieczeństwa za wadę.

„Jest to luka w zabezpieczeniach związana z nieuwierzytelnionym wstrzykiwaniem poleceń w interfejsie API ustawień regionalnych dostępnym za pośrednictwem internetowego interfejsu zarządzania” – wyjaśnili Lin i Li.

Aby to wykorzystać, użytkownicy mogą wysłać zapytanie do określonego formularza „kraj” i przeprowadzić operację „zapisu”, którą obsługuje funkcja „set_country” – wyjaśnili badacze. Funkcja ta wywołuje funkcję „merge_config_by_country” i łączy argument określonej postaci „kraj” w ciąg poleceń. Ten ciąg znaków jest następnie wykonywany przez funkcję „popen”.

„Ponieważ pole „kraj” nie zostanie opróżnione, atakujący może wykonać zastrzyk polecenia” – napisali badacze.

Botnety do oblężenia

W zeszłym roku TP-Link powiadomił, że luka została ujawniona, i potwierdził wykorzystanie jej przez botnet Mirai. Jednak od tego czasu inne botnety, a także różne warianty Mirai, również zaatakowały podatne na ataki urządzenia.

Jednym z nich jest Agoent, bot-agent oparty na Golang, który atakuje, pobierając najpierw plik skryptu „exec.sh” ze strony internetowej kontrolowanej przez osobę atakującą, który następnie pobiera pliki w formacie wykonywalnym i linkowalnym (ELF) różnych architektur opartych na systemie Linux.

Następnie bot wykonuje dwa podstawowe zachowania: pierwsze polega na utworzeniu nazwy użytkownika hosta i hasła przy użyciu losowych znaków, a drugie na nawiązaniu połączenia z systemem dowodzenia i kontroli (C2) w celu przekazania właśnie utworzonych przez złośliwe oprogramowanie danych uwierzytelniających w celu przejęcia urządzenia, – stwierdzili naukowcy.

Botnet tworzący odmowę usługi (DoS) w architekturach Linuksa, zwany wariantem Gafgyt, również atakuje lukę TP-Link, pobierając i wykonując plik skryptu, a następnie pobierając pliki wykonawcze architektury Linuksa z przedrostkiem „rebirth”. Następnie botnet otrzymuje informacje o naruszonym docelowym adresie IP i architekturze, które łączy w ciąg znaków będący częścią początkowego komunikatu o połączeniu – wyjaśnili badacze.

„Po nawiązaniu połączenia ze swoim serwerem C2 złośliwe oprogramowanie otrzymuje ciągłe polecenie „PING” z serwera, aby zapewnić trwałość zaatakowanego celu” – napisali badacze. Następnie czeka na różne polecenia C2, aby utworzyć ataki DoS.

Badacze twierdzą, że botnet o nazwie Moobot również atakuje lukę polegającą na przeprowadzaniu ataków DDoS na zdalne adresy IP za pomocą polecenia z serwera C2 atakującego. Chociaż botnet atakuje różne architektury sprzętu IoT, badacze firmy Fortiguard przeanalizowali plik wykonawczy botnetu zaprojektowany dla architektury „x86_64”, aby określić jego aktywność eksploatacyjną – stwierdzili.

A wariant Mirai Wykorzystując lukę, przeprowadza również ataki DDoS, wysyłając pakiet z serwera C&C w celu skierowania punktu końcowego do zainicjowania ataku – zauważyli badacze.

„Określone polecenie to 0x01 dla ataku Valve Source Engine (VSE) trwającego 60 sekund (0x3C), którego celem jest losowo wybrany adres IP ofiary i numer portu 30129” – wyjaśnili.

Badacze zauważyli, że do walki w celu przeprowadzenia ataków brute-force na zainfekowane urządzenia również przyłączył się Miori, inny wariant Mirai. Zaobserwowali także ataki Condi, które pozostają spójne z wersją botnetu, która była aktywna w zeszłym roku.

Naukowcy twierdzą, że atak zachowuje funkcję zapobiegania ponownym uruchamianiom poprzez usuwanie plików binarnych odpowiedzialnych za zamykanie lub ponowne uruchamianie systemu, a także skanuje aktywne procesy i odniesienia za pomocą predefiniowanych ciągów znaków, aby zakończyć procesy o pasujących nazwach.

Łatuj i chroń, aby uniknąć DDoS

Ataki botnetów wykorzystujące wady urządzeń w celu obrania za cel środowisk IoT są „bezlitosne”, dlatego użytkownicy powinni zachować czujność wobec botnetów DDoS” – zauważyli badacze. Rzeczywiście, przeciwnicy IoT nasilają swoje ataki poprzez rzucanie się na niezałatane wady urządzenia w celu realizacji swoich wyrafinowanych planów ataków.

Ataki na urządzenia TP-Link można złagodzić, stosując dostępną łatkę dla zagrożonych urządzeń i tę praktykę należy stosować w przypadku wszelkich innych urządzeń IoT, „aby chronić ich środowiska sieciowe przed infekcjami, zapobiegając przekształceniu się w boty dla złośliwych aktorów zagrażających” – napisali badacze.

Fortiguard zamieścił także w swoim poście różne wskaźniki zagrożenia (IoC) dla różnych ataków botnetów, w tym serwery C2, adresy URL i pliki, które mogą pomóc administratorom serwerów zidentyfikować atak.

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.