บ็อตเน็ตจำนวนหนึ่งกำลังโจมตีช่องโหว่ command-injection ที่มีอายุเกือบหนึ่งปีในเราเตอร์ TP-Link เพื่อประนีประนอมอุปกรณ์สำหรับการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายที่ขับเคลื่อนด้วย IoT
มีแพทช์สำหรับข้อบกพร่องอยู่แล้วติดตามเป็น CVE-2023-1389พบได้ในอินเทอร์เฟซการจัดการเว็บของเราเตอร์ Wi-Fi TP-Link Archer AX21 (AX1800) และอุปกรณ์ที่ส่งผลต่อเวอร์ชัน 1.1.4 Build 20230219 หรือก่อนหน้า
อย่างไรก็ตาม ผู้คุกคามกำลังใช้ประโยชน์จากอุปกรณ์ที่ไม่ได้รับการติดตั้งเพื่อส่งบ็อตเน็ตต่างๆ รวมถึง Moobot, Miori, AGoent, ตัวแปร Gafgytและบ็อตเน็ต Mirai ที่น่าอับอายซึ่งสามารถประนีประนอมอุปกรณ์สำหรับ DDoS และกิจกรรมที่ชั่วร้ายเพิ่มเติม โพสต์บล็อก จากการวิจัยภัยคุกคามของ Fortiguard Labs
“เมื่อเร็วๆ นี้ เราสังเกตเห็นการโจมตีหลายครั้งโดยมุ่งเน้นไปที่ช่องโหว่ที่มีมาหลายปีนี้” ซึ่งก่อนหน้านี้ถูกโจมตีโดยใน Mirai บ็อตเน็ตตามโพสต์ของนักวิจัย Fortiguard Cara Lin และ Vincent Li การตรวจวัดทางไกล IPS ของ Fortiguard ตรวจพบปริมาณการรับส่งข้อมูลสูงสุด ซึ่งแจ้งเตือนนักวิจัยถึงกิจกรรมที่เป็นอันตราย พวกเขากล่าว
การใช้ประโยชน์จากข้อบกพร่องของ TP-Link
ข้อบกพร่องดังกล่าวสร้างสถานการณ์ที่ไม่มีการฆ่าเชื้อในช่อง "ประเทศ" ของอินเทอร์เฟซการจัดการของเราเตอร์ "ดังนั้นผู้โจมตีจึงสามารถใช้ประโยชน์จากกิจกรรมที่เป็นอันตรายและตั้งหลักได้" ตามรายงานของ TP-Link ที่ปรึกษาด้านความปลอดภัย สำหรับข้อบกพร่อง
“นี่เป็นช่องโหว่การฉีดคำสั่งที่ไม่ได้รับการรับรองความถูกต้องใน API 'locale' ที่มีให้ใช้งานผ่านอินเทอร์เฟซการจัดการเว็บ” Lin และ Li อธิบาย
เพื่อใช้ประโยชน์จากมัน ผู้ใช้สามารถค้นหาแบบฟอร์ม “ประเทศ” ที่ระบุ และดำเนินการ “เขียน” ซึ่งจัดการโดยฟังก์ชัน “set_country” นักวิจัยอธิบาย ฟังก์ชันนั้นเรียกฟังก์ชัน "merge_config_by_country" และเชื่อมอาร์กิวเมนต์ของรูปแบบ "ประเทศ" ที่ระบุเข้ากับสตริงคำสั่ง จากนั้นสตริงนี้จะถูกดำเนินการโดยฟังก์ชัน "popen"
“เนื่องจากฟิลด์ 'ประเทศ' จะไม่ถูกทำให้ว่างเปล่า ผู้โจมตีจึงสามารถบรรลุคำสั่งได้” นักวิจัยเขียน
บอทเน็ตสู่การล้อม
คำแนะนำของ TP-Link เมื่อมีการเปิดเผยข้อบกพร่องเมื่อปีที่แล้ว รวมถึงการรับรู้ถึงการใช้ประโยชน์โดยบ็อตเน็ต Mirai แต่ตั้งแต่นั้นเป็นต้นมา บ็อตเน็ตอื่น ๆ รวมถึง Mirai หลากหลายรูปแบบก็เริ่มโจมตีอุปกรณ์ที่มีช่องโหว่เช่นกัน
หนึ่งคือ Agoent ซึ่งเป็นเอเจนต์บอทที่ใช้ Golang ซึ่งโจมตีโดยดึงไฟล์สคริปต์ “exec.sh” จากเว็บไซต์ที่ผู้โจมตีควบคุมก่อน จากนั้นจะดึงไฟล์ Executable and Linkable Format (ELF) ของสถาปัตยกรรมบน Linux ที่แตกต่างกัน
จากนั้นบอทจะดำเนินการสองพฤติกรรมหลัก: อย่างแรกคือการสร้างชื่อผู้ใช้และรหัสผ่านของโฮสต์โดยใช้อักขระแบบสุ่ม และอย่างที่สองคือสร้างการเชื่อมต่อกับคำสั่งและการควบคุม (C2) เพื่อส่งต่อข้อมูลรับรองที่เพิ่งสร้างโดยมัลแวร์สำหรับการครอบครองอุปกรณ์ นักวิจัยกล่าวว่า
บอตเน็ตที่สร้างการปฏิเสธการให้บริการ (DoS) ในสถาปัตยกรรม Linux ที่เรียกว่าตัวแปร Gafgyt กำลังโจมตีข้อบกพร่องของ TP-Link ด้วยการดาวน์โหลดและเรียกใช้ไฟล์สคริปต์ จากนั้นดึงไฟล์การดำเนินการสถาปัตยกรรม Linux ที่มีชื่อไฟล์นำหน้าว่า "rebirth" จากนั้นบอทเน็ตจะได้รับ IP เป้าหมายและข้อมูลสถาปัตยกรรมที่ถูกบุกรุก ซึ่งเชื่อมต่อเข้ากับสตริงที่เป็นส่วนหนึ่งของข้อความการเชื่อมต่อเริ่มต้น นักวิจัยอธิบาย
“หลังจากสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C2 แล้ว มัลแวร์จะได้รับคำสั่ง 'PING' อย่างต่อเนื่องจากเซิร์ฟเวอร์เพื่อให้แน่ใจว่าจะคงอยู่ในเป้าหมายที่ถูกบุกรุก” นักวิจัยเขียน จากนั้นจะรอคำสั่ง C2 ต่างๆ เพื่อสร้างการโจมตี DoS
นักวิจัยกล่าวว่าบ็อตเน็ตที่เรียกว่า Moobot กำลังโจมตีข้อบกพร่องเพื่อทำการโจมตี DDoS บน IP ระยะไกลผ่านคำสั่งจากเซิร์ฟเวอร์ C2 ของผู้โจมตี ในขณะที่บอตเน็ตกำหนดเป้าหมายไปที่สถาปัตยกรรมฮาร์ดแวร์ IoT ต่างๆ นักวิจัยของ Fortiguard ได้วิเคราะห์ไฟล์การดำเนินการของบอตเน็ตที่ออกแบบมาสำหรับสถาปัตยกรรม "x86_64" เพื่อพิจารณากิจกรรมการหาประโยชน์จากบอตเน็ต
A รุ่นมิไร นอกจากนี้ ยังดำเนินการโจมตี DDoS เพื่อใช้ประโยชน์จากข้อบกพร่องด้วยการส่งแพ็กเก็ตจากเซิร์ฟเวอร์ C&C ไปยังปลายทางเพื่อเริ่มการโจมตี นักวิจัยตั้งข้อสังเกต
“คำสั่งที่ระบุคือ 0x01 สำหรับ Valve Source Engine (VSE) ฟลัด โดยมีระยะเวลา 60 วินาที (0x3C) โดยกำหนดเป้าหมายที่อยู่ IP ของเหยื่อที่เลือกแบบสุ่มและหมายเลขพอร์ต 30129” พวกเขาอธิบาย
มิโอริ ซึ่งเป็นอีกสายพันธุ์หนึ่งของมิไร ได้เข้าร่วมการต่อสู้เพื่อทำการโจมตีแบบดุร้ายบนอุปกรณ์ที่ถูกบุกรุก นักวิจัยตั้งข้อสังเกต และพวกเขายังสังเกตเห็นการโจมตีของ Condi ซึ่งยังคงสอดคล้องกับเวอร์ชันของบอตเน็ตที่ใช้งานเมื่อปีที่แล้ว
การโจมตียังคงรักษาฟังก์ชันป้องกันการรีบูตโดยการลบไบนารีที่รับผิดชอบในการปิดระบบหรือรีบูตระบบ และสแกนกระบวนการที่ใช้งานอยู่และการอ้างอิงโยงด้วยสตริงที่กำหนดไว้ล่วงหน้าเพื่อยุติกระบวนการด้วยชื่อที่ตรงกัน นักวิจัยกล่าว
แพทช์และป้องกันเพื่อหลีกเลี่ยง DDoS
การโจมตีบอตเน็ตที่ใช้ประโยชน์จากข้อบกพร่องของอุปกรณ์เพื่อกำหนดเป้าหมายสภาพแวดล้อม IoT นั้น “ไม่หยุดยั้ง” ดังนั้นผู้ใช้จึงควรระมัดระวังต่อบ็อตเน็ต DDoS” นักวิจัยตั้งข้อสังเกต แท้จริงแล้ว ศัตรูของ IoT กำลังรุกล้ำการโจมตีของพวกเขา ตะครุบข้อบกพร่องของอุปกรณ์ที่ไม่ได้รับการติดตั้ง เพื่อส่งเสริมแผนการโจมตีที่ซับซ้อน
การโจมตีอุปกรณ์ TP-Link สามารถบรรเทาลงได้โดยใช้แพตช์ที่มีอยู่สำหรับอุปกรณ์ที่ได้รับผลกระทบ และควรปฏิบัติตามแนวทางปฏิบัตินี้สำหรับอุปกรณ์ IoT อื่นๆ “เพื่อปกป้องสภาพแวดล้อมเครือข่ายจากการติดไวรัส ป้องกันไม่ให้อุปกรณ์กลายเป็นบอทสำหรับผู้แสดงภัยคุกคามที่เป็นอันตราย” นักวิจัยเขียน
Fortiguard ยังรวมไว้ในโพสต์ตัวบ่งชี้ต่างๆ ของการประนีประนอม (IoCs) สำหรับการโจมตีบอตเน็ตต่างๆ รวมถึงเซิร์ฟเวอร์ C2, URL และไฟล์ที่สามารถช่วยผู้ดูแลระบบเซิร์ฟเวอร์ระบุการโจมตีได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks
