Bir dizi botnet, IoT odaklı dağıtılmış hizmet reddi (DDoS) saldırıları için cihazları tehlikeye atmak amacıyla TP-Link yönlendiricilerindeki neredeyse bir yıllık komut ekleme güvenlik açığını alt ediyor.
Kusur için zaten bir yama var ve şu şekilde izleniyor: CVE-2023-1389TP-Link Archer AX21 (AX1800) Wi-Fi yönlendiricisinin Web yönetimi arayüzünde bulunur ve Sürüm 1.1.4 Yapı 20230219 veya önceki sürümleri etkileyen cihazları etkiler.
Ancak tehdit aktörleri, Moobot, Miori, AGoent gibi çeşitli botnet’leri göndermek için yama uygulanmamış cihazlardan yararlanıyor. Gafgyt çeşidive kötü şöhretli Mirai botnet’in çeşitleri, DDoS için cihazları tehlikeye atabilir ve daha fazla hain aktiviteye neden olabilir. bir blog yazısı Fortiguard Labs Tehdit Araştırması’ndan.
“Son zamanlarda, bu bir yıllık güvenlik açığına odaklanan çok sayıda saldırı gözlemledik.” Mirai botnet’iFortiguard araştırmacıları Cara Lin ve Vincent Li’nin gönderisine göre. Fortiguard’ın IPS telemetrisinin, araştırmacıları kötü niyetli faaliyetlere karşı uyaran önemli trafik zirveleri tespit ettiği belirtildi.
TP-Link Kusurundan Yararlanmak
TP-Link’in açıklamasına göre bu kusur, yönlendiricinin yönetim arayüzünün “Ülke” alanının temizlenmediği bir senaryo yaratıyor; böylece bir saldırgan, kötü niyetli faaliyetler için bu alanı kullanabilir ve yer edinebilir. güvenlik danışmanlığı kusur için.
Lin ve Li, “Bu, web yönetimi arayüzü aracılığıyla kullanılabilen ‘yerel’ API’deki kimliği doğrulanmamış bir komut ekleme güvenlik açığıdır” dedi.
Araştırmacılar, bundan yararlanmak için kullanıcıların belirtilen “ülke” formunu sorgulayıp “set_country” işlevi tarafından gerçekleştirilen bir “yazma” işlemi gerçekleştirebileceğini açıkladı. Bu işlev “merge_config_by_country” işlevini çağırır ve belirtilen “ülke” formunun argümanını bir komut dizesinde birleştirir. Bu dize daha sonra “popen” işlevi tarafından yürütülür.
Araştırmacılar, “‘Ülke’ alanı boşaltılmayacağı için saldırgan komut enjeksiyonunu gerçekleştirebilir” diye yazdı.
Kuşatmaya Giden Botnet’ler
Geçen yıl kusur ortaya çıktığında TP-Link’in tavsiyesi, Mirai botnet’inin istismarının kabulünü içeriyordu. Ancak o zamandan bu yana diğer botnet’lerin yanı sıra çeşitli Mirai çeşitleri de savunmasız cihazları kuşattı.
Bunlardan biri, saldırgan tarafından kontrol edilen bir web sitesinden önce “exec.sh” komut dosyası dosyasını alarak saldıran, ardından farklı Linux tabanlı mimarilerin Yürütülebilir ve Bağlanabilir Format (ELF) dosyalarını alan Golang tabanlı bir aracı bot olan Agoent’tir.
Bot daha sonra iki temel davranışı gerçekleştirir: Birincisi, rastgele karakterler kullanarak ana bilgisayar kullanıcı adını ve şifresini oluşturmak, ikincisi ise cihazı ele geçirmek için kötü amaçlı yazılım tarafından yeni oluşturulan kimlik bilgilerini iletmek üzere komut ve kontrol (C2) ile bağlantı kurmaktır. araştırmacılar söyledi.
Gafgyt varyantı adı verilen Linux mimarilerinde hizmet reddi (DoS) oluşturan bir botnet, aynı zamanda bir komut dosyası indirip çalıştırarak ve ardından “yeniden doğuş” ön ekine sahip Linux mimarisi yürütme dosyalarını alarak TP-Link kusuruna saldırıyor. Araştırmacılar, botnet’in daha sonra ele geçirilen hedef IP ve mimari bilgilerini aldığını ve bunları ilk bağlantı mesajının bir parçası olan bir dizide birleştirdiğini açıkladı.
Araştırmacılar, “Kötü amaçlı yazılım, C2 sunucusuyla bağlantı kurduktan sonra, tehlikeye atılan hedefte kalıcılığı sağlamak için sunucudan sürekli bir ‘PING’ komutu alıyor” diye yazdı. Daha sonra DoS saldırıları oluşturmak için çeşitli C2 komutlarını bekler.
Araştırmacılar, Moobot adı verilen botnet’in, saldırganın C2 sunucusundan gelen bir komut aracılığıyla uzak IP’lere DDoS saldırıları gerçekleştirmeye yönelik kusura da saldırdığını söyledi. Botnet çeşitli IoT donanım mimarilerini hedef alırken Fortiguard araştırmacıları, botnet’in “x86_64” mimarisi için tasarlanan yürütme dosyasını, istismar etkinliğini belirlemek için analiz ettiklerini söyledi.
A Mirai’nin bir çeşidi Araştırmacılar ayrıca, saldırıyı başlatmak üzere uç noktayı yönlendirmek için C&C sunucusundan bir paket göndererek kusurdan yararlanarak DDoS saldırıları gerçekleştirdiğini belirtti.
“Belirtilen komut, 60 saniyelik (0x3C) süreli bir Valf Kaynak Motoru (VSE) seli için 0x01’dir ve rastgele seçilen kurbanın IP adresini ve 30129 bağlantı noktası numarasını hedef alır” diye açıkladılar.
Araştırmacılar, bir başka Mirai çeşidi olan Miori’nin de ele geçirilen cihazlara kaba kuvvet saldırıları düzenlemek için mücadeleye katıldığını belirtti. Ayrıca Condi’nin geçen yıl aktif olan botnet versiyonuyla tutarlı olan saldırılarını da gözlemlediler.
Araştırmacılar, saldırının, sistemi kapatmaktan veya yeniden başlatmaktan sorumlu ikili dosyaları silerek yeniden başlatmaları önleme işlevini sürdürdüğünü ve eşleşen adlarla süreçleri sonlandırmak için aktif işlemleri ve önceden tanımlanmış dizelerle çapraz referansları taradığını söyledi.
DDoS’tan Kaçınmak İçin Yama ve Koruma Yapın
Araştırmacılar, cihaz kusurlarından yararlanarak IoT ortamlarını hedef alan botnet saldırılarının “amansız” olduğunu ve bu nedenle kullanıcıların DDoS botnet’lerine karşı dikkatli olması gerektiğini belirtti. yama yapılmamış cihaz kusurlarına saldırmak karmaşık saldırı gündemlerini ilerletmek için.
TP-Link cihazlarına yönelik saldırılar, etkilenen cihazlar için mevcut yama uygulanarak azaltılabilir ve bu uygulamanın, “ağ ortamlarını enfeksiyondan korumak, kötü niyetli tehdit aktörlerinin bot’larına dönüşmesini önlemek için” diğer IoT cihazları için de takip edilmesi gerekir. araştırmacılar yazdı.
Fortiguard ayrıca gönderisine, C2 sunucuları, URL’ler ve sunucu yöneticilerinin bir saldırıyı tanımlamasına yardımcı olabilecek dosyalar dahil olmak üzere farklı botnet saldırıları için çeşitli güvenlik ihlali göstergelerini (IoC’ler) de dahil etti.