Številni botneti uničujejo skoraj leto dni staro ranljivost vbrizgavanja ukazov v usmerjevalnikih TP-Link, da bi ogrozili naprave za napade porazdeljene zavrnitve storitve (DDoS), ki jih poganja IoT.

Za napako že obstaja popravek, sleden kot CVE-2023-1389, ki ga najdete v spletnem vmesniku za upravljanje Wi-Fi usmerjevalnika TP-Link Archer AX21 (AX1800) in vpliva na naprave različice 1.1.4 Build 20230219 ali starejše.

Vendar akterji groženj izkoriščajo nepopravljene naprave za pošiljanje različnih botnetov – vključno z Moobot, Miori, AGoent, Gafgyt varianta, in različice zloglasnega botneta Mirai, ki lahko ogrozi naprave za DDoS in nadaljnje nečedne dejavnosti, glede na blog post iz Fortiguard Labs Threat Research.

»Pred kratkim smo opazili več napadov, ki so se osredotočali na to leto staro ranljivost,« ki jo je že prej izkoristil Mirai botnet, glede na objavo raziskovalcev Fortiguarda Care Lin in Vincenta Lija. Fortiguardova IPS telemetrija je zaznala velike prometne konice, kar je raziskovalce opozorilo na zlonamerno dejavnost, so povedali.

Izkoriščanje napake TP-Link

Napaka ustvari scenarij, v katerem ni sanacije polja »Država« v vmesniku za upravljanje usmerjevalnika, »tako da ga lahko napadalec izkoristi za zlonamerne dejavnosti in pridobi oporo,« pravi TP-Link. varnostno svetovanje za napako.

»Gre za nepreverjeno ranljivost vbrizgavanja ukazov v API-ju 'locale', ki je na voljo prek vmesnika za spletno upravljanje,« sta pojasnila Lin in Li.

Da bi ga izkoristili, lahko uporabniki poizvedujejo po določenem obrazcu »država« in izvedejo operacijo »pisanja«, ki jo upravlja funkcija »set_country«, so pojasnili raziskovalci. Ta funkcija pokliče funkcijo »merge_config_by_country« in združi argument podane oblike »country« v ukazni niz. Ta niz se nato izvede s funkcijo "popen".

"Ker polje 'država' ne bo izpraznjeno, lahko napadalec doseže vbrizgavanje ukaza," so zapisali raziskovalci.

Botneti do Siege

Svetovanje TP-Linka, ko je bila napaka razkrita lani, je vključevalo potrditev izkoriščanja botneta Mirai. Toda od takrat so tudi drugi botneti in različne različice Mirai oblegali ranljive naprave.

Eden je Agoent, agentski bot s sedežem na Golangu, ki napada tako, da najprej pridobi skriptno datoteko »exec.sh« s spletnega mesta, ki ga nadzoruje napadalec, ki nato pridobi datoteke izvedljivih in povezljivih formatov (ELF) različnih arhitektur, ki temeljijo na Linuxu.

Bot nato izvede dve primarni vedenji: prvo je ustvariti uporabniško ime in geslo gostitelja z uporabo naključnih znakov, drugo pa je vzpostaviti povezavo z ukazom in nadzorom (C2), da posreduje poverilnice, ki jih je pravkar ustvarila zlonamerna programska oprema za prevzem naprave, so povedali raziskovalci.

Botnet, ki ustvarja zavrnitev storitve (DoS) v arhitekturah Linuxa, imenovan različica Gafgyt, prav tako napada napako TP-Link tako, da prenese in izvede skriptno datoteko ter nato pridobi izvedbene datoteke arhitekture Linux s predpono datoteke z imenom »rebirth«. Botnet nato dobi ogroženi ciljni IP in informacije o arhitekturi, ki jih združi v niz, ki je del njegovega začetnega sporočila o povezavi, so pojasnili raziskovalci.

"Po vzpostavitvi povezave s svojim strežnikom C2 zlonamerna programska oprema prejme neprekinjen ukaz 'PING' s strežnika, da zagotovi obstojnost na ogroženi tarči," so zapisali raziskovalci. Nato čaka na različne ukaze C2, da ustvari napade DoS.

Botnet, imenovan Moobot, prav tako napada napako za izvajanje napadov DDoS na oddaljene naslove IP prek ukaza s strežnika C2 napadalca, so povedali raziskovalci. Medtem ko botnet cilja na različne arhitekture strojne opreme IoT, so raziskovalci Fortiguarda analizirali izvedbeno datoteko botneta, zasnovano za arhitekturo »x86_64«, da bi ugotovili njegovo dejavnost izkoriščanja, so povedali.

A različica Mirai prav tako izvaja napade DDoS pri izkoriščanju napake s pošiljanjem paketa s strežnika C&C, da usmeri končno točko, da sproži napad, so opozorili raziskovalci.

"Podan ukaz je 0x01 za poplavo Valve Source Engine (VSE) s trajanjem 60 sekund (0x3C), ki cilja na naključno izbran naslov IP žrtve in številko vrat 30129," so pojasnili.

Raziskovalci so opozorili, da se je Miori, še ena različica Mirai, prav tako pridružil boju za izvajanje napadov s surovo silo na ogrožene naprave. Opazili so tudi napade Condija, ki ostajajo skladni z različico botneta, ki je bil aktiven lani.

Napad ohranja funkcijo preprečevanja ponovnih zagonov z brisanjem binarnih datotek, ki so odgovorne za zaustavitev ali ponovni zagon sistema, in skenira aktivne procese in navzkrižne reference z vnaprej določenimi nizi, da prekine procese z ujemajočimi se imeni, so povedali raziskovalci.

Popravi in ​​zaščiti, da se izogneš DDoS

Napadi na botnete, ki izkoriščajo napake naprav za ciljanje na okolja IoT, so »neizprosni«, zato bi morali biti uporabniki pozorni na botnete DDoS,« ugotavljajo raziskovalci. Nasprotniki interneta stvari dejansko napredujejo v svojih napadih napad na nepopravljene napake naprave za nadaljevanje svojih prefinjenih načrtov napada.

Napade na naprave TP-Link je mogoče ublažiti z uporabo razpoložljivega popravka za prizadete naprave, to prakso pa je treba upoštevati pri vseh drugih napravah interneta stvari, »da zavarujejo njihova omrežna okolja pred okužbo in jim preprečijo, da bi postali boti za zlonamerne grožnje,« so zapisali raziskovalci.

Fortiguard je v svojo objavo vključil tudi različne indikatorje ogroženosti (IoC) za različne napade botnetov, vključno s strežniki C2, URL-ji in datotekami, ki lahko skrbnikom strežnikov pomagajo prepoznati napad.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks