O serie de botnet-uri lovesc o vulnerabilitate de injectare de comandă veche de aproape un an în routerele TP-Link pentru a compromite dispozitivele pentru atacuri de refuz de serviciu distribuit (DDoS) conduse de IoT.
Există deja un patch pentru defect, urmărit ca CVE-2023-1389, care se găsește în interfața de administrare web a routerului Wi-Fi TP-Link Archer AX21 (AX1800) și care afectează dispozitivele Versiunea 1.1.4 Build 20230219 sau anterioară.
Cu toate acestea, actorii amenințărilor profită de dispozitivele nepatchate pentru a trimite diverse botnet-uri - includ Moobot, Miori, AGoent, un Varianta Gafgyt, și variante ale infamei rețele botne Mirai - care pot compromite dispozitivele pentru DDoS și activități nefaste în continuare, potrivit o postare pe blog de la Fortiguard Labs Threat Research.
„Recent, am observat mai multe atacuri concentrate pe această vulnerabilitate veche de un an”, care a fost deja exploatată anterior de către Botnet Mirai, potrivit postării cercetătorilor Fortiguard Cara Lin și Vincent Li. Telemetria IPS de la Fortiguard a detectat vârfuri semnificative de trafic, care i-au alertat pe cercetători asupra activității rău intenționate, au spus aceștia.
Exploatarea defectului TP-Link
Defectul creează un scenariu în care nu există nicio igienizare a câmpului „Țară” al interfeței de gestionare a routerului, „astfel încât un atacator îl poate exploata pentru activități rău intenționate și să câștige loc”, potrivit TP-Link. consiliere de securitate pentru defect.
„Aceasta este o vulnerabilitate de injectare de comandă neautentificată în API-ul „local” disponibil prin interfața de administrare web”, au explicat Lin și Li.
Pentru a o exploata, utilizatorii pot interoga forma specificată „țară” și pot efectua o operațiune de „scriere”, care este gestionată de funcția „set_country”, au explicat cercetătorii. Această funcție apelează funcția „merge_config_by_country” și concatenează argumentul formei specificate „țară” într-un șir de comandă. Acest șir este apoi executat de funcția „popen”.
„Deoarece câmpul „țară” nu va fi golit, atacatorul poate obține injecția de comandă”, au scris cercetătorii.
Botnets la asediu
Avizul TP-Link când defectul a fost dezvăluit anul trecut a inclus recunoașterea exploatării de către botnet-ul Mirai. Dar de atunci și alte rețele bot, precum și diverse variante Mirai au fost asediate împotriva dispozitivelor vulnerabile.
Unul este Agoent, un agent bot bazat pe Golang care atacă preluând mai întâi fișierul script „exec.sh” de pe un site web controlat de atacator, care apoi preia fișierele format executabil și linkabil (ELF) ale diferitelor arhitecturi bazate pe Linux.
Botul execută apoi două comportamente principale: primul este să creeze numele de utilizator și parola gazdei folosind caractere aleatorii, iar al doilea este să stabilească o conexiune cu comandă și control (C2) pentru a transmite acreditările tocmai create de malware pentru preluarea dispozitivului, au spus cercetătorii.
O rețea botnet care creează denial of service (DoS) în arhitecturile Linux numită varianta Gafgyt atacă, de asemenea, defectul TP-Link prin descărcarea și executarea unui fișier script și apoi preluarea fișierelor de execuție a arhitecturii Linux cu prefixul numelui de fișier „renaștere”. Botnet-ul primește apoi informațiile despre IP și arhitectură țintă compromise, pe care le concatenează într-un șir care face parte din mesajul său inițial de conectare, au explicat cercetătorii.
„După stabilirea unei conexiuni cu serverul său C2, malware-ul primește o comandă „PING” continuă de la server pentru a asigura persistența asupra țintei compromise”, au scris cercetătorii. Apoi așteaptă diverse comenzi C2 pentru a crea atacuri DoS.
Rețeaua bot numită Moobot atacă, de asemenea, defectul de a efectua atacuri DDoS pe IP-uri la distanță printr-o comandă de la serverul C2 al atacatorului, au spus cercetătorii. În timp ce rețeaua botnet vizează diferite arhitecturi hardware IoT, cercetătorii Fortiguard au analizat fișierul de execuție al rețelei bot proiectat pentru arhitectura „x86_64” pentru a determina activitatea sa de exploatare, au spus ei.
A varianta lui Mirai De asemenea, efectuează atacuri DDoS în exploatarea defectului prin trimiterea unui pachet de la serverul C&C pentru a direcționa punctul final pentru a iniția atacul, au observat cercetătorii.
„Comanda specificată este 0x01 pentru o inundație Valve Source Engine (VSE), cu o durată de 60 de secunde (0x3C), care vizează adresa IP a victimei selectate aleatoriu și numărul portului 30129”, au explicat ei.
Miori, o altă variantă Mirai, s-a alăturat, de asemenea, luptei pentru a efectua atacuri cu forță brută asupra dispozitivelor compromise, au observat cercetătorii. Și au observat, de asemenea, atacuri ale lui Condi care rămân în concordanță cu o versiune a rețelei bot care a fost activă anul trecut.
Atacul păstrează funcția de a preveni repornirile prin ștergerea fișierelor binare responsabile pentru închiderea sau repornirea sistemului și scanează procesele active și referințele încrucișate cu șiruri predefinite pentru a termina procesele cu nume potrivite, au spus cercetătorii.
Corectează și protejează pentru a evita DDoS
Atacurile botnet care exploatează defectele dispozitivelor pentru a viza mediile IoT sunt „necruțătoare” și, prin urmare, utilizatorii ar trebui să fie vigilenți împotriva botnet-urilor DDoS”, au observat cercetătorii. Într-adevăr, adversarii IoT își avansează atacurile prin năpustindu-se asupra defectelor dispozitivului nereparat pentru a promova agendele lor sofisticate de atac.
Atacurile împotriva dispozitivelor TP-Link pot fi atenuate prin aplicarea patch-ului disponibil pentru dispozitivele afectate, iar această practică ar trebui urmată pentru orice alte dispozitive IoT „pentru a-și proteja mediile de rețea de infecție, împiedicându-le să devină roboți pentru actorii de amenințări rău intenționate”, au scris cercetătorii.
De asemenea, Fortiguard a inclus în postarea sa diverși indicatori de compromis (IoC) pentru diferitele atacuri botnet, inclusiv servere C2, URL-uri și fișiere care pot ajuta administratorii serverului să identifice un atac.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
