Vários botnets estão atacando uma vulnerabilidade de injeção de comando de quase um ano em roteadores TP-Link para comprometer os dispositivos para ataques distribuídos de negação de serviço (DDoS) baseados em IoT.

Já existe um patch para a falha, rastreado como CVE-2023-1389, encontrado na interface de gerenciamento da Web do roteador Wi-Fi TP-Link Archer AX21 (AX1800) e afetando dispositivos Versão 1.1.4 Build 20230219 ou anterior.

No entanto, os agentes de ameaças estão aproveitando dispositivos não corrigidos para enviar vários botnets – incluindo Moobot, Miori, AGoent, um Variante Gafgyt, e variantes do infame botnet Mirai – que podem comprometer os dispositivos para DDoS e outras atividades nefastas, de acordo com um post de blog da Pesquisa de Ameaças do Fortiguard Labs.

“Recentemente, observamos vários ataques focados nesta vulnerabilidade de um ano”, que já foi explorada anteriormente pelo in Botnet Mirai, de acordo com a postagem dos pesquisadores do Fortiguard, Cara Lin e Vincent Li. A telemetria IPS do Fortiguard detectou picos de tráfego significativos, o que alertou os pesquisadores sobre a atividade maliciosa, disseram.

Explorando a falha do TP-Link

A falha cria um cenário em que não há higienização do campo “País” da interface de gerenciamento do roteador, “então um invasor pode explorá-lo para atividades maliciosas e ganhar posição”, segundo o relatório da TP-Link. assessoria de segurança pela falha.

“Esta é uma vulnerabilidade de injeção de comando não autenticada na API 'locale' disponível através da interface de gerenciamento web”, explicaram Lin e Li.

Para explorá-lo, os usuários podem consultar o formulário especificado “país” e realizar uma operação de “gravação”, que é tratada pela função “set_country”, explicaram os pesquisadores. Essa função chama a função “merge_config_by_country” e concatena o argumento do formato especificado “country” em uma string de comando. Esta string é então executada pela função “popen”.

“Como o campo ‘país’ não será esvaziado, o invasor poderá obter injeção de comando”, escreveram os pesquisadores.

Botnets para o cerco

O aviso da TP-Link quando a falha foi revelada no ano passado incluiu o reconhecimento da exploração pela botnet Mirai. Mas, desde então, outras botnets, bem como várias variantes do Mirai, também atacaram dispositivos vulneráveis.

Um deles é o Agoent, um agente bot baseado em Golang que ataca primeiro buscando o arquivo de script “exec.sh” de um site controlado pelo invasor, que então recupera os arquivos Executable and Linkable Format (ELF) de diferentes arquiteturas baseadas em Linux.

O bot então executa dois comportamentos principais: o primeiro é criar o nome de usuário e a senha do host usando caracteres aleatórios, e o segundo é estabelecer conexão com comando e controle (C2) para transmitir as credenciais recém-criadas pelo malware para controle do dispositivo. disseram os pesquisadores.

Um botnet que cria negação de serviço (DoS) em arquiteturas Linux, chamado variante Gafgyt, também está atacando a falha TP-Link baixando e executando um arquivo de script e, em seguida, recuperando arquivos de execução da arquitetura Linux com o prefixo de nome de arquivo “renascimento”. A botnet então obtém o IP alvo comprometido e as informações de arquitetura, que concatena em uma string que faz parte de sua mensagem de conexão inicial, explicaram os pesquisadores.

“Depois de estabelecer uma conexão com seu servidor C2, o malware recebe um comando ‘PING’ contínuo do servidor para garantir a persistência no alvo comprometido”, escreveram os pesquisadores. Em seguida, ele aguarda vários comandos C2 para criar ataques DoS.

A botnet chamada Moobot também está atacando a falha para conduzir ataques DDoS em IPs remotos por meio de um comando do servidor C2 do invasor, disseram os pesquisadores. Embora o botnet tenha como alvo várias arquiteturas de hardware IoT, os pesquisadores da Fortiguard analisaram o arquivo de execução do botnet projetado para a arquitetura “x86_64” para determinar sua atividade de exploração, disseram eles.

A variante de Mirai também está conduzindo ataques DDoS na exploração da falha, enviando um pacote do servidor C&C para direcionar o endpoint para iniciar o ataque, observaram os pesquisadores.

“O comando especificado é 0x01 para uma inundação do Valve Source Engine (VSE), com duração de 60 segundos (0x3C), visando o endereço IP de uma vítima selecionada aleatoriamente e o número da porta 30129”, explicaram.

Miori, outra variante do Mirai, também entrou na briga para conduzir ataques de força bruta em dispositivos comprometidos, observaram os pesquisadores. E também observaram ataques da Condi que permanecem consistentes com uma versão da botnet que estava ativa no ano passado.

O ataque mantém a função de impedir reinicializações, excluindo binários responsáveis ​​por desligar ou reinicializar o sistema, e verifica processos ativos e referências cruzadas com strings predefinidas para encerrar processos com nomes correspondentes, disseram os pesquisadores.

Patch e proteção para evitar DDoS

Os ataques de botnets que exploram falhas de dispositivos para atingir ambientes IoT são “implacáveis” e, portanto, os usuários devem estar vigilantes contra botnets DDoS”, observaram os pesquisadores. Na verdade, os adversários da IoT estão avançando em seus ataques atacando falhas de dispositivos não corrigidas para promover suas sofisticadas agendas de ataque.

Os ataques contra dispositivos TP-Link podem ser mitigados aplicando o patch disponível para dispositivos afetados, e esta prática deve ser seguida para quaisquer outros dispositivos IoT “para proteger seus ambientes de rede contra infecções, evitando que se tornem bots para agentes de ameaças mal-intencionados”, disse o relatório. escreveram os pesquisadores.

A Fortiguard também incluiu em sua postagem vários indicadores de comprometimento (IoCs) para os diferentes ataques de botnets, incluindo servidores C2, URLs e arquivos que podem ajudar os administradores de servidores a identificar um ataque.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks