许多僵尸网络正在攻击 TP-Link 路由器中存在近一年的命令注入漏洞，以危害设备以进行物联网驱动的分布式拒绝服务 (DDoS) 攻击。

已经有一个针对该缺陷的补丁，追踪为 CVE-2023-1389，在 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器的 Web 管理界面中找到，影响设备版本 1.1.4 Build 20230219 或更低版本。

然而，威胁行为者正在利用未修补的设备来发送各种僵尸网络——包括 Moobot、Miori、AGoent、a 加夫吉特变种，以及臭名昭著的 Mirai 僵尸网络的变种，据介绍，这些僵尸网络可能会损害设备以进行 DDoS 和进一步的恶意活动 博客文章 来自 Fortiguard 实验室威胁研究。

“最近，我们观察到针对这个已有一年的漏洞的多次攻击”，该漏洞此前已被 Mirai僵尸网络，根据 Fortiguard 研究人员 Cara Lin 和 Vincent Li 的帖子。他们表示，Fortiguard 的 IPS 遥测检测到了显着的流量峰值，这向研究人员发出了恶意活动的警报。

利用 TP-Link 漏洞

根据 TP-Link 的说法，该缺陷造成了一种情况，即路由器管理界面的“国家/地区”字段没有经过清理，“因此攻击者可以利用它进行恶意活动并获得立足点”。 安全咨询 对于缺陷。

“这是通过 Web 管理界面提供的‘区域设置’ API 中未经身份验证的命令注入漏洞，”Lin 和 Li 解释道。

研究人员解释说，为了利用它，用户可以查询指定的表单“国家”并执行“写入”操作，该操作由“set_country”函数处理。该函数调用“merge_config_by_country”函数并将指定形式“country”的参数连接到命令字符串中。然后该字符串由“popen”函数执行。

研究人员写道：“由于‘国家’字段不会被清空，攻击者可以实现命令注入。”

僵尸网络的围攻

去年该漏洞曝光后，TP-Link 发布的公告包括承认受到 Mirai 僵尸网络的利用。但从那时起，其他僵尸网络以及各种 Mirai 变种也开始围攻易受攻击的设备。

其中之一是 Agoent，这是一种基于 Golang 的代理机器人，它首先从攻击者控制的网站获取脚本文件“exec.sh”，然后检索不同基于 Linux 架构的可执行和可链接格式 (ELF) 文件。

然后，僵尸程序执行两个主要行为：第一个是使用随机字符创建主机用户名和密码，第二个是与命令和控制 (C2) 建立连接，以传递恶意软件刚刚创建的凭据以进行设备接管，研究人员说。

在 Linux 架构中创建拒绝服务 (DoS) 的僵尸网络（称为 Gafgyt 变体）也通过下载并执行脚本文件，然后检索文件名前缀为“rebirth”的 Linux 架构执行文件来攻击 TP-Link 缺陷。研究人员解释说，僵尸网络随后会获取受损的目标 IP 和架构信息，并将其连接成一个字符串，作为其初始连接消息的一部分。

研究人员写道：“在与其 C2 服务器建立连接后，恶意软件会从服务器接收连续的‘PING’命令，以确保受感染目标的持久性。”然后，它等待各种 C2 命令来发起 DoS 攻击。

研究人员表示，名为 Moobot 的僵尸网络也正在利用该漏洞，通过攻击者的 C2 服务器发出的命令对远程 IP 进行 DDoS 攻击。他们表示，虽然僵尸网络针对各种物联网硬件架构，但 Fortiguard 研究人员分析了僵尸网络为“x86_64”架构设计的执行文件，以确定其利用活动。

A Mirai 的变种 研究人员指出，该公司还利用该缺陷进行 DDoS 攻击，从 C&C 服务器发送数据包以指示端点发起攻击。

“指定的命令是 0x01，用于 Valve Source Engine (VSE) 洪水，持续时间为 60 秒 (0x3C)，目标是随机选择的受害者的 IP 地址和端口号 30129，”他们解释道。

研究人员指出，另一种 Mirai 变体 Miori 也加入了对受感染设备进行暴力攻击的行列。他们还观察到 Condi 的攻击与去年活跃的僵尸网络版本保持一致。

研究人员表示，该攻击保留了通过删除负责关闭或重新启动系统的二进制文件来防止重新启动的功能，并扫描活动进程和与预定义字符串的交叉引用，以终止具有匹配名称的进程。

修补和保护以避免 DDoS

利用设备缺陷针对物联网环境的僵尸网络攻击是“无情的”，因此用户应该对 DDoS 僵尸网络保持警惕。”研究人员指出。事实上，物联网对手正在通过以下方式推进他们的攻击： 抓住未修补的设备缺陷 进一步推进他们复杂的攻击议程。

针对 TP-Link 设备的攻击可以通过为受影响的设备应用可用补丁来缓解，任何其他物联网设备都应该遵循这种做法，“以保护其网络环境免受感染，防止它们成为恶意威胁者的机器人”。研究人员写道。

Fortiguard 还在其帖子中包含了针对不同僵尸网络攻击的各种妥协指标 (IoC)，包括 C2 服务器、URL 和可帮助服务器管理员识别攻击的文件。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks