Ряд ботнетов атакуют почти годичную уязвимость внедрения команд в маршрутизаторах TP-Link, чтобы поставить под угрозу устройства для распределенных атак типа «отказ в обслуживании» (DDoS), управляемых Интернетом вещей.

Уже существует патч для устранения этой уязвимости, отслеживаемый как CVE-2023-1389, обнаруженный в веб-интерфейсе управления Wi-Fi-маршрутизатором TP-Link Archer AX21 (AX1800) и затрагивающий устройства версии 1.1.4 сборки 20230219 или более ранней.

Однако злоумышленники используют неисправленные устройства для запуска различных ботнетов, в том числе Moobot, Miori, AGoent, Гафгытский варианти варианты печально известного ботнета Mirai, которые могут поставить под угрозу устройства для DDoS-атак и дальнейшей гнусной деятельности, по словам блог из исследования угроз Fortiguard Labs.

«Недавно мы наблюдали многочисленные атаки, направленные на эту уязвимость годовой давности», которая ранее уже использовалась в Mirai botnet, согласно сообщению исследователей Fortiguard Кары Лин и Винсента Ли. По их словам, телеметрия IPS Fortiguard обнаружила значительные пики трафика, что предупредило исследователей о вредоносной активности.

Использование недостатка TP-Link

Уязвимость создает сценарий, в котором отсутствует очистка поля «Страна» интерфейса управления маршрутизатором, «поэтому злоумышленник может использовать его для вредоносных действий и закрепиться», согласно заявлению TP-Link. обеспечение безопасности за недостаток.

«Это уязвимость, связанная с внедрением команд без аутентификации в «локальном» API, доступном через веб-интерфейс управления», — объяснили Лин и Ли.

Чтобы использовать это, пользователи могут запросить указанную форму «страна» и выполнить операцию «записи», которая обрабатывается функцией «set_country», объяснили исследователи. Эта функция вызывает функцию «merge_config_by_country» и объединяет аргумент указанной формы «country» в командную строку. Эта строка затем выполняется функцией «popen».

«Поскольку поле «страна» не будет очищено, злоумышленник сможет осуществить внедрение команд», — пишут исследователи.

Ботнеты на осаде

Сообщение TP-Link, когда в прошлом году была обнаружена уязвимость, включало признание эксплуатации со стороны ботнета Mirai. Но с тех пор другие ботнеты, а также различные варианты Mirai также начали борьбу с уязвимыми устройствами.

Одним из них является Agoent, бот-агент на базе Golang, который атакует, сначала загружая файл сценария «exec.sh» с контролируемого злоумышленником веб-сайта, который затем извлекает файлы исполняемого и связываемого формата (ELF) различных архитектур на базе Linux.

Затем бот выполняет два основных действия: первое — создает имя пользователя и пароль хоста, используя случайные символы, а второе — устанавливает соединение с системой управления и контроля (C2) для передачи учетных данных, только что созданных вредоносным ПО, для захвата устройства. сказали исследователи.

Ботнет, который создает отказ в обслуживании (DoS) в архитектурах Linux, называемый вариантом Gafgyt, также атакует уязвимость TP-Link, загружая и выполняя файл сценария, а затем получая исполняемые файлы архитектуры Linux с префиксом имени файла «rebirth». Затем ботнет получает информацию о скомпрометированном целевом IP-адресе и архитектуре, которую он объединяет в строку, которая является частью его первоначального сообщения о подключении, объяснили исследователи.

«После установления соединения со своим сервером C2 вредоносная программа получает от сервера непрерывную команду PING, чтобы обеспечить постоянство на скомпрометированной цели», — пишут исследователи. Затем он ожидает различных команд C2 для создания DoS-атак.

По словам исследователей, ботнет под названием Moobot также атакует уязвимость, позволяющую проводить DDoS-атаки на удаленные IP-адреса с помощью команды с сервера C2 злоумышленника. Хотя ботнет нацелен на различные аппаратные архитектуры Интернета вещей, исследователи Fortiguard проанализировали исполняемый файл ботнета, разработанный для архитектуры «x86_64», чтобы определить его эксплуатационную активность, говорят они.

A вариант Мирай Исследователи отметили, что также проводит DDoS-атаки, используя уязвимость, отправляя пакет с командного сервера, чтобы дать указание конечной точке инициировать атаку.

«Указана команда 0x01 для флуда Valve Source Engine (VSE) продолжительностью 60 секунд (0x3C), нацеленного на случайно выбранный IP-адрес жертвы и номер порта 30129», — пояснили они.

Исследователи отметили, что Miori, еще один вариант Mirai, также присоединился к борьбе с атаками методом перебора на взломанные устройства. Они также наблюдали атаки Condi, которые соответствуют версии ботнета, действовавшей в прошлом году.

По словам исследователей, атака сохраняет функцию предотвращения перезагрузок путем удаления двоичных файлов, ответственных за выключение или перезагрузку системы, а также сканирует активные процессы и перекрестные ссылки с предопределенными строками для завершения процессов с совпадающими именами.

Исправьте и защитите, чтобы избежать DDoS

Атаки ботнетов, использующие недостатки устройств для атаки на среды IoT, «безжалостны», и поэтому пользователи должны проявлять бдительность в отношении DDoS-ботнетов», — отмечают исследователи. Действительно, злоумышленники Интернета вещей продвигают свои атаки путем набрасываясь на неисправленные недостатки устройства для реализации своих изощренных планов атак.

Атаки на устройства TP-Link можно смягчить, применив доступный патч для затронутых устройств, и эту практику следует соблюдать для любых других устройств IoT, «чтобы защитить их сетевую среду от заражения и не дать им стать ботами для злоумышленников», — заявили в компании. исследователи написали.

Fortiguard также включил в свой пост различные индикаторы компрометации (IoC) для различных атак ботнетов, включая серверы C2, URL-адреса и файлы, которые могут помочь администраторам серверов идентифицировать атаку.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks