Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Nhiều Botnet khác nhau tấn công lỗ hổng TP-Link lâu đời trong các cuộc tấn công IoT

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 79

Một số botnet đang tấn công lỗ hổng chèn lệnh gần một năm tuổi trong bộ định tuyến TP-Link để xâm phạm các thiết bị cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS) do IoT điều khiển.

Đã có bản vá cho lỗ hổng này, được theo dõi là CVE-2023-1389, được tìm thấy trong giao diện quản lý Web của bộ định tuyến Wi-Fi TP-Link Archer AX21 (AX1800) và các thiết bị ảnh hưởng Phiên bản 1.1.4 Build 20230219 trở về trước.

Tuy nhiên, các tác nhân đe dọa đang lợi dụng các thiết bị chưa được vá để tấn công nhiều loại botnet khác nhau - bao gồm Moobot, Miori, AGoent, một mạng botnet. biến thể gafgytvà các biến thể của botnet Mirai khét tiếng - có thể xâm phạm các thiết bị để thực hiện DDoS và các hoạt động bất chính khác, theo một bài đăng blog từ Nghiên cứu mối đe dọa của Fortiguard Labs.

“Gần đây, chúng tôi đã quan sát thấy nhiều cuộc tấn công tập trung vào lỗ hổng cách đây một năm này,” vốn đã bị hacker khai thác trước đó. Mạng botnet Mirai, theo bài đăng của các nhà nghiên cứu Fortiguard Cara Lin và Vincent Li. Họ cho biết, phương pháp đo từ xa IPS của Fortiguard đã phát hiện các đỉnh lưu lượng truy cập đáng kể, điều này đã cảnh báo các nhà nghiên cứu về hoạt động độc hại.

Theo TP-Link, lỗ hổng này tạo ra một kịch bản trong đó trường “Quốc gia” trong giao diện quản lý của bộ định tuyến không được dọn dẹp, “vì vậy kẻ tấn công có thể khai thác nó cho các hoạt động độc hại và giành được chỗ đứng”. tư vấn bảo mật cho lỗ hổng.

Lin và Li giải thích: “Đây là lỗ hổng chèn lệnh không được xác thực trong API 'locale' có sẵn thông qua giao diện quản lý web.

Các nhà nghiên cứu giải thích, để khai thác nó, người dùng có thể truy vấn biểu mẫu “quốc gia” được chỉ định và thực hiện thao tác “ghi”, được xử lý bởi hàm “set_country”. Hàm đó gọi hàm “merge_config_by_country” và nối đối số có dạng “quốc gia” đã chỉ định thành một chuỗi lệnh. Chuỗi này sau đó được thực thi bởi hàm “popen”.

Các nhà nghiên cứu viết: “Vì trường 'quốc gia' sẽ không bị xóa nên kẻ tấn công có thể thực hiện việc tiêm lệnh.

Botnet đến cuộc vây hãm

Lời khuyên của TP-Link khi lỗ hổng được tiết lộ vào năm ngoái bao gồm việc thừa nhận việc khai thác của botnet Mirai. Nhưng kể từ đó, các botnet khác cũng như các biến thể Mirai khác nhau cũng đã tấn công các thiết bị dễ bị tấn công.

Một là Agoent, một bot tác nhân dựa trên Golang tấn công bằng cách trước tiên tìm nạp tệp tập lệnh “exec.sh” từ một trang web do kẻ tấn công kiểm soát, sau đó tệp này truy xuất các tệp Định dạng có thể thực thi và có thể liên kết (ELF) của các kiến ​​trúc dựa trên Linux khác nhau.

Sau đó, bot thực hiện hai hành vi chính: đầu tiên là tạo tên người dùng và mật khẩu máy chủ bằng các ký tự ngẫu nhiên và thứ hai là thiết lập kết nối bằng lệnh và điều khiển (C2) để truyền thông tin đăng nhập do phần mềm độc hại tạo ra để chiếm quyền điều khiển thiết bị, các nhà nghiên cứu cho biết.

Một botnet tạo từ chối dịch vụ (DoS) trong kiến ​​trúc Linux có tên là biến thể Gafgyt cũng đang tấn công lỗ hổng TP-Link bằng cách tải xuống và thực thi tệp tập lệnh, sau đó truy xuất các tệp thực thi kiến ​​trúc Linux có tên tệp tiền tố “tái sinh”. Các nhà nghiên cứu giải thích, botnet sau đó sẽ nhận được thông tin kiến ​​trúc và IP mục tiêu bị xâm phạm, sau đó nối chúng thành một chuỗi là một phần của thông báo kết nối ban đầu.

Các nhà nghiên cứu viết: “Sau khi thiết lập kết nối với máy chủ C2, phần mềm độc hại sẽ nhận được lệnh 'PING' liên tục từ máy chủ để đảm bảo tính liên tục của mục tiêu bị xâm nhập”. Sau đó nó chờ các lệnh C2 khác nhau để tạo ra các cuộc tấn công DoS.

Các nhà nghiên cứu cho biết botnet có tên Moobot cũng đang tấn công lỗ hổng để tiến hành các cuộc tấn công DDoS vào các IP từ xa thông qua lệnh từ máy chủ C2 của kẻ tấn công. Họ cho biết, trong khi botnet nhắm vào các kiến ​​trúc phần cứng IoT khác nhau, các nhà nghiên cứu của Fortiguard đã phân tích tệp thực thi của botnet được thiết kế cho kiến ​​trúc “x86_64” để xác định hoạt động khai thác của nó.

A biến thể của Mirai Các nhà nghiên cứu lưu ý rằng cũng đang tiến hành các cuộc tấn công DDoS nhằm khai thác lỗ hổng bằng cách gửi một gói từ máy chủ C&C để chỉ đạo điểm cuối bắt đầu cuộc tấn công.

Họ giải thích: “Lệnh được chỉ định là 0x01 đối với đợt lũ Valve Source Engine (VSE), với thời lượng 60 giây (0x3C), nhắm mục tiêu đến địa chỉ IP của nạn nhân được chọn ngẫu nhiên và số cổng 30129”.

Các nhà nghiên cứu lưu ý rằng Miori, một biến thể khác của Mirai, cũng đã tham gia vào cuộc cạnh tranh để tiến hành các cuộc tấn công vũ phu vào các thiết bị bị xâm nhập. Và họ cũng quan sát thấy các cuộc tấn công của Condi vẫn phù hợp với một phiên bản botnet hoạt động năm ngoái.

Các nhà nghiên cứu cho biết cuộc tấn công vẫn giữ chức năng ngăn chặn việc khởi động lại bằng cách xóa các tệp nhị phân chịu trách nhiệm tắt hoặc khởi động lại hệ thống, đồng thời quét các quy trình đang hoạt động và tham chiếu chéo bằng các chuỗi được xác định trước để chấm dứt các quy trình có tên trùng khớp.

Vá & Bảo vệ để tránh DDoS

Các nhà nghiên cứu lưu ý rằng các cuộc tấn công Botnet khai thác lỗ hổng thiết bị để nhắm mục tiêu vào môi trường IoT là “không ngừng nghỉ” và do đó người dùng nên cảnh giác trước các botnet DDoS”. Thật vậy, các đối thủ của IoT đang tiến hành các cuộc tấn công của họ bằng cách tấn công vào các lỗi thiết bị chưa được vá để tiếp tục các chương trình tấn công phức tạp của họ.

Các cuộc tấn công chống lại các thiết bị TP-Link có thể được giảm thiểu bằng cách áp dụng bản vá có sẵn cho các thiết bị bị ảnh hưởng và nên áp dụng biện pháp này cho mọi thiết bị IoT khác “để bảo vệ môi trường mạng của chúng khỏi bị lây nhiễm, ngăn chúng trở thành bot cho các tác nhân đe dọa độc hại”. các nhà nghiên cứu đã viết.

Fortiguard cũng đưa vào bài đăng của mình nhiều chỉ báo thỏa hiệp (IoC) khác nhau cho các cuộc tấn công botnet khác nhau, bao gồm máy chủ C2, URL và tệp có thể giúp quản trị viên máy chủ xác định một cuộc tấn công.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.