許多殭屍網路正在攻擊 TP-Link 路由器中存在近一年的命令注入漏洞，以危害設備以進行物聯網驅動的分散式阻斷服務 (DDoS) 攻擊。

已經有一個針對該缺陷的補丁，追蹤為 CVE-2023，1389，在 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器的 Web 管理介面中找到，影響設備版本 1.1.4 Build 20230219 或更低版本。

然而，威脅行為者正在利用未修補的設備來發送各種殭屍網路——包括 Moobot、Miori、AGoent、a 加夫吉特變種，以及臭名昭著的 Mirai 殭屍網路的變種，據介紹，這些殭屍網路可能會損害設備以進行 DDoS 和進一步的惡意活動 博客文章 來自 Fortiguard 實驗室威脅研究。

“最近，我們觀察到針對這個已有一年的漏洞的多次攻擊”，該漏洞此前已被 Mirai殭屍網絡，根據 Fortiguard 研究人員 Cara Lin 和 Vincent Li 的貼文。他們表示，Fortiguard 的 IPS 遙測偵測到了顯著的流量峰值，這向研究人員發出了惡意活動的警報。

利用 TP-Link 漏洞

根據 TP-Link 的說法，該缺陷造成了一種情況，即路由器管理介面的「國家」欄位沒有經過清理，「因此攻擊者可以利用它進行惡意活動並獲得立足點」。 安全諮詢 對於缺陷。

「這是透過 Web 管理介面提供的『區域設定』 API 中未經身份驗證的命令注入漏洞，」Lin 和 Li 解釋道。

研究人員解釋說，為了利用它，使用者可以查詢指定的表單「國家」並執行「寫入」操作，該操作由「set_country」函數處理。此函數呼叫“merge_config_by_country”函數並將指定形式“country”的參數連接到命令字串中。然後該字串由“popen”函數執行。

研究人員寫道：“由於‘國家’字段不會被清空，攻擊者可以實現命令注入。”

殭屍網路的圍攻

去年該漏洞曝光後，TP-Link 發布的公告包括承認受到 Mirai 殭屍網路的利用。但從那時起，其他殭屍網路以及各種 Mirai 變種也開始圍攻易受攻擊的裝置。

其中之一是Agoent，這是一種基於Golang 的代理機器人，它首先從攻擊者控制的網站獲取腳本檔案“exec.sh”，然後檢索不同基於Linux 架構的可執行和可連結格式(ELF) 文件。

然後，殭屍程式執行兩個主要行為：第一個是使用隨機字元建立主機使用者名稱和密碼，第二個是與命令和控制 (C2) 建立連接，以傳遞惡意軟體剛剛建立的憑證以進行裝置接管，研究人員說。

在 Linux 架構中建立拒絕服務 (DoS) 的殭屍網路（稱為 Gafgyt 變體）也透過下載並執行腳本文件，然後檢索文件名前綴為「rebirth」的 Linux 架構執行檔來攻擊 TP-Link 缺陷。研究人員解釋說，殭屍網路隨後會獲取受損的目標 IP 和架構訊息，並將其連接成一個字串，作為其初始連接訊息的一部分。

研究人員寫道：“在與其 C2 伺服器建立連接後，惡意軟體會從伺服器接收連續的‘PING’命令，以確保受感染目標的持久性。”然後，它等待各種 C2 命令來發動 DoS 攻擊。

研究人員表示，名為 Moobot 的殭屍網路也正在攻擊該漏洞，透過攻擊者的 C2 伺服器發出的命令對遠端 IP 進行 DDoS 攻擊。他們表示，雖然殭屍網路針對各種物聯網硬體架構，但 Fortiguard 研究人員分析了殭屍網路為「x86_64」架構設計的執行文件，以確定其利用活動。

A Mirai 的變種 研究人員指出，該公司還利用該缺陷進行 DDoS 攻擊，從 C&C 伺服器發送封包以指示端點發動攻擊。

「指定的命令是 0x01，用於 Valve Source Engine (VSE) 洪水，持續時間為 60 秒 (0x3C)，目標是隨機選擇的受害者的 IP 位址和連接埠號 30129，」他們解釋道。

研究人員指出，另一種 Mirai 變體 Miori 也加入了對受感染設備進行暴力攻擊的行列。他們還觀察到 Condi 的攻擊與去年活躍的殭屍網路版本保持一致。

研究人員表示，該攻擊保留了透過刪除負責關閉或重新啟動系統的二進位檔案來防止重新啟動的功能，並掃描活動進程和與預定義字串的交叉引用，以終止具有匹配名稱的進程。

修補和保護以避免 DDoS

利用設備缺陷針對物聯網環境的殭屍網路攻擊是“無情的”，因此用戶應該對 DDoS 殭屍網路保持警惕。事實上，物聯網對手正在透過以下方式推進他們的攻擊： 抓住未修補的設備缺陷 進一步推進他們複雜的攻擊議程。

針對TP-Link 設備的攻擊可以透過為受影響的設備應用可用修補程式來緩解，任何其他物聯網設備都應該遵循這種做法，「以保護其網路環境免受感染，防止它們成為惡意威脅者的機器人」。研究人員寫道。

Fortiguard 還在其貼文中包含了針對不同殭屍網路攻擊的各種妥協指標 (IoC)，包括 C2 伺服器、URL 和可協助伺服器管理員識別攻擊的檔案。

• SEO 支持的內容和 PR 分發。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 賦予自己力量。 訪問這裡。
• 柏拉圖愛流。 Web3 智能。 知識放大。 訪問這裡。
• 柏拉圖ESG。 碳， 清潔科技, 能源， 環境， 太陽能， 廢物管理。 訪問這裡。
• 柏拉圖健康。 生物技術和臨床試驗情報。 訪問這裡。
• 資源： https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks