Ett antal botnät stöter på en nästan år gammal sårbarhet för kommandoinjektion i en TP-Link-routrar för att äventyra enheterna för IoT-drivna DDoS-attacker (Distributed Denial of Service).
Det finns redan en patch för bristen, spårad som CVE-2023-1389, som finns i webbhanteringsgränssnittet för TP-Link Archer AX21 (AX1800) Wi-Fi-router och påverkar enheter Version 1.1.4 Build 20230219 eller tidigare.
Men hotaktörer drar fördel av oparpade enheter för att skicka olika botnät — inklusive Moobot, Miori, AGoent, en Gafgyt variant, och varianter av det ökända Mirai botnätet — som kan äventyra enheterna för DDoS och ytterligare skändlig aktivitet, enligt ett blogginlägg från Fortiguard Labs Threat Research.
"Nyligen observerade vi flera attacker med fokus på denna år gamla sårbarhet," som redan tidigare utnyttjats av Mirai botnet, enligt inlägget av Fortiguard-forskarna Cara Lin och Vincent Li. Fortiguards IPS-telemetri har upptäckt betydande trafiktoppar, vilket gjorde forskarna uppmärksamma på den skadliga aktiviteten, sa de.
Utnyttja TP-Link-felet
Felet skapar ett scenario där det inte sker någon sanering av "Land"-fältet i routerns hanteringsgränssnitt, "så att en angripare kan utnyttja det för skadliga aktiviteter och få fotfäste", enligt TP-Links säkerhetsrådgivande för felet.
"Detta är en oautentiserad sårbarhet för kommandoinjektion i 'locale' API som är tillgängligt via webbhanteringsgränssnittet," förklarade Lin och Li.
För att utnyttja det kan användare fråga den angivna formen "land" och utföra en "skriv"-operation, som hanteras av "set_country"-funktionen, förklarade forskarna. Den funktionen anropar funktionen "merge_config_by_country" och sammanfogar argumentet för den angivna formen "country" till en kommandosträng. Denna sträng exekveras sedan av funktionen "öppna".
"Eftersom "land"-fältet inte kommer att tömmas, kan angriparen uppnå kommandoinjektion, skrev forskarna.
Botnät till belägringen
TP-Links råd när felet avslöjades förra året inkluderade ett erkännande av utnyttjande av Mirai-botnätet. Men sedan dess har andra botnät såväl som olika Mirai-varianter också belägrat sårbara enheter.
En är Agoent, en Golang-baserad agentbot som attackerar genom att först hämta skriptfilen "exec.sh" från en angriparkontrollerad webbplats, som sedan hämtar filerna Executable and Linkable Format (ELF) från olika Linux-baserade arkitekturer.
Boten exekverar sedan två primära beteenden: det första är att skapa värdanvändarnamnet och lösenordet med slumpmässiga tecken, och det andra är att upprätta förbindelse med kommando och kontroll (C2) för att vidarebefordra autentiseringsuppgifterna som just skapats av skadlig programvara för övertagande av enheten, sa forskarna.
Ett botnät som skapar denial of service (DoS) i Linux-arkitekturer som kallas Gafgyt-varianten angriper också TP-Link-felet genom att ladda ner och köra en skriptfil och sedan hämta Linux-arkitekturexekveringsfiler med prefixet filnamnet "rebirth". Botnätet får sedan den komprometterade mål-IP och arkitekturinformation, som den sammanfogar till en sträng som är en del av dess initiala anslutningsmeddelande, förklarade forskarna.
"Efter att ha upprättat en anslutning till sin C2-server får den skadliga programvaran ett kontinuerligt 'PING'-kommando från servern för att säkerställa uthållighet på det komprometterade målet", skrev forskarna. Den väntar sedan på olika C2-kommandon för att skapa DoS-attacker.
Botnätet Moobot angriper också bristen att utföra DDoS-attacker på fjärranslutna IP:er via ett kommando från angriparens C2-server, sa forskarna. Medan botnätet riktar sig till olika IoT-hårdvaruarkitekturer, analyserade Fortiguard-forskare botnätets exekveringsfil designad för "x86_64"-arkitekturen för att fastställa dess exploateringsaktivitet, sa de.
A variant av Mirai utför också DDoS-attacker i sin exploatering av felet genom att skicka ett paket från C&C-servern för att styra slutpunkten för att initiera attacken, noterade forskarna.
"Kommandot som anges är 0x01 för en Valve Source Engine (VSE) översvämning, med en varaktighet på 60 sekunder (0x3C), riktad mot ett slumpmässigt utvalt offers IP-adress och portnumret 30129," förklarade de.
Miori, en annan Mirai-variant, har också gått med i striden för att utföra brute-force-attacker på komprometterade enheter, noterade forskarna. Och de observerade också attacker från Condi som fortfarande överensstämmer med en version av botnätet som var aktiv förra året.
Attacken behåller funktionen för att förhindra omstarter genom att radera binärfiler som är ansvariga för att stänga av eller starta om systemet, och skannar aktiva processer och korsreferenser med fördefinierade strängar för att avsluta processer med matchande namn, sa forskarna.
Patch & Skydda för att undvika DDoS
Botnätattacker som utnyttjar enhetsbrister för att rikta in sig på IoT-miljöer är "obevekliga", och därför bör användare vara vaksamma mot DDoS-botnät", noterade forskarna. Faktum är att IoT-motståndare avancerar sina attacker med kastar sig över oparpade enhetsfel för att främja deras sofistikerade attackagendor.
Attacker mot TP-Link-enheter kan mildras genom att applicera den tillgängliga patchen för berörda enheter, och denna praxis bör följas för alla andra IoT-enheter "för att skydda deras nätverksmiljöer från infektion och förhindra dem från att bli botar för skadliga hotaktörer", skrev forskare.
Fortiguard inkluderade också i sitt inlägg olika indikatorer på kompromiss (IoC) för de olika botnätsattackerna, inklusive C2-servrar, URL:er och filer som kan hjälpa serveradministratörer att identifiera en attack.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
