Szereg botnetów wykorzystuje istniejącą od prawie roku lukę w zabezpieczeniach routerów TP-Link polegającą na wstrzykiwaniu poleceń w celu naruszenia bezpieczeństwa urządzeń w celu przeprowadzenia ataków DDoS opartych na IoT.
Istnieje już łatka usuwająca usterkę, śledzoną jako CVE-2023-1389, znajdujący się w internetowym interfejsie zarządzania routera Wi-Fi TP-Link Archer AX21 (AX1800) i wpływający na urządzenia w wersji 1.1.4 Build 20230219 lub wcześniejszej.
Jednak ugrupowania zagrażające wykorzystują niezałatane urządzenia do wysyłania różnych botnetów — w tym Moobot, Miori, AGoent, Wariant Gafgytaoraz warianty niesławnego botnetu Mirai — które według opinii mogą narażać urządzenia na ataki DDoS i dalsze nikczemne działania. blogu z badania zagrożeń Fortiguard Labs.
„Ostatnio zaobserwowaliśmy wiele ataków skupiających się na tej luce sprzed roku”, która była już wcześniej wykorzystywana przez firmę in Botnet Miraijak wynika z postu badaczy Fortiguard, Cary Lin i Vincenta Li. Jak twierdzą, telemetria IPS firmy Fortiguard wykryła znaczne szczyty ruchu, co zaalarmowało badaczy o szkodliwej aktywności.
Wykorzystanie luki w TP-Linku
Luka stwarza scenariusz, w którym nie następuje oczyszczenie pola „Kraj” w interfejsie zarządzania routera, „aby osoba atakująca mogła wykorzystać je do szkodliwych działań i zdobyć przyczółek” – twierdzi TP-Link doradztwo bezpieczeństwa za wadę.
„Jest to luka w zabezpieczeniach związana z nieuwierzytelnionym wstrzykiwaniem poleceń w interfejsie API ustawień regionalnych dostępnym za pośrednictwem internetowego interfejsu zarządzania” – wyjaśnili Lin i Li.
Aby to wykorzystać, użytkownicy mogą wysłać zapytanie do określonego formularza „kraj” i przeprowadzić operację „zapisu”, którą obsługuje funkcja „set_country” – wyjaśnili badacze. Funkcja ta wywołuje funkcję „merge_config_by_country” i łączy argument określonej postaci „kraj” w ciąg poleceń. Ten ciąg znaków jest następnie wykonywany przez funkcję „popen”.
„Ponieważ pole „kraj” nie zostanie opróżnione, atakujący może wykonać zastrzyk polecenia” – napisali badacze.
Botnety do oblężenia
W zeszłym roku TP-Link powiadomił, że luka została ujawniona, i potwierdził wykorzystanie jej przez botnet Mirai. Jednak od tego czasu inne botnety, a także różne warianty Mirai, również zaatakowały podatne na ataki urządzenia.
Jednym z nich jest Agoent, bot-agent oparty na Golang, który atakuje, pobierając najpierw plik skryptu „exec.sh” ze strony internetowej kontrolowanej przez osobę atakującą, który następnie pobiera pliki w formacie wykonywalnym i linkowalnym (ELF) różnych architektur opartych na systemie Linux.
Następnie bot wykonuje dwa podstawowe zachowania: pierwsze polega na utworzeniu nazwy użytkownika hosta i hasła przy użyciu losowych znaków, a drugie na nawiązaniu połączenia z systemem dowodzenia i kontroli (C2) w celu przekazania właśnie utworzonych przez złośliwe oprogramowanie danych uwierzytelniających w celu przejęcia urządzenia, – stwierdzili naukowcy.
Botnet tworzący odmowę usługi (DoS) w architekturach Linuksa, zwany wariantem Gafgyt, również atakuje lukę TP-Link, pobierając i wykonując plik skryptu, a następnie pobierając pliki wykonawcze architektury Linuksa z przedrostkiem „rebirth”. Następnie botnet otrzymuje informacje o naruszonym docelowym adresie IP i architekturze, które łączy w ciąg znaków będący częścią początkowego komunikatu o połączeniu – wyjaśnili badacze.
„Po nawiązaniu połączenia ze swoim serwerem C2 złośliwe oprogramowanie otrzymuje ciągłe polecenie „PING” z serwera, aby zapewnić trwałość zaatakowanego celu” – napisali badacze. Następnie czeka na różne polecenia C2, aby utworzyć ataki DoS.
Badacze twierdzą, że botnet o nazwie Moobot również atakuje lukę polegającą na przeprowadzaniu ataków DDoS na zdalne adresy IP za pomocą polecenia z serwera C2 atakującego. Chociaż botnet atakuje różne architektury sprzętu IoT, badacze firmy Fortiguard przeanalizowali plik wykonawczy botnetu zaprojektowany dla architektury „x86_64”, aby określić jego aktywność eksploatacyjną – stwierdzili.
A wariant Mirai Wykorzystując lukę, przeprowadza również ataki DDoS, wysyłając pakiet z serwera C&C w celu skierowania punktu końcowego do zainicjowania ataku – zauważyli badacze.
„Określone polecenie to 0x01 dla ataku Valve Source Engine (VSE) trwającego 60 sekund (0x3C), którego celem jest losowo wybrany adres IP ofiary i numer portu 30129” – wyjaśnili.
Badacze zauważyli, że do walki w celu przeprowadzenia ataków brute-force na zainfekowane urządzenia również przyłączył się Miori, inny wariant Mirai. Zaobserwowali także ataki Condi, które pozostają spójne z wersją botnetu, która była aktywna w zeszłym roku.
Naukowcy twierdzą, że atak zachowuje funkcję zapobiegania ponownym uruchamianiom poprzez usuwanie plików binarnych odpowiedzialnych za zamykanie lub ponowne uruchamianie systemu, a także skanuje aktywne procesy i odniesienia za pomocą predefiniowanych ciągów znaków, aby zakończyć procesy o pasujących nazwach.
Łatuj i chroń, aby uniknąć DDoS
Ataki botnetów wykorzystujące wady urządzeń w celu obrania za cel środowisk IoT są „bezlitosne”, dlatego użytkownicy powinni zachować czujność wobec botnetów DDoS” – zauważyli badacze. Rzeczywiście, przeciwnicy IoT nasilają swoje ataki poprzez rzucanie się na niezałatane wady urządzenia w celu realizacji swoich wyrafinowanych planów ataków.
Ataki na urządzenia TP-Link można złagodzić, stosując dostępną łatkę dla zagrożonych urządzeń i tę praktykę należy stosować w przypadku wszelkich innych urządzeń IoT, „aby chronić ich środowiska sieciowe przed infekcjami, zapobiegając przekształceniu się w boty dla złośliwych aktorów zagrażających” – napisali badacze.
Fortiguard zamieścił także w swoim poście różne wskaźniki zagrożenia (IoC) dla różnych ataków botnetów, w tym serwery C2, adresy URL i pliki, które mogą pomóc administratorom serwerów zidentyfikować atak.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks