Τουλάχιστον έξι διαφορετικές κακόβουλες λειτουργίες botnet, αναζητούν δρομολογητές TP-Link Archer AX21 (AX1800) που είναι ευάλωτοι σε ένα ζήτημα ασφάλειας command injection που αναφέρθηκε και αντιμετωπίστηκε πέρυσι.
Δείτε επίσης: RUBYCARP hackers: Νέες επιθέσεις με botnet
Γνωστό ως CVE-2023-1389, το ελάττωμα είναι ένα υψηλής σοβαρότητας πρόβλημα command injection χωρίς έλεγχο ταυτότητας στο τοπικό API, που είναι προσβάσιμο μέσω της διεπαφής διαχείρισης ιστού TP-Link Archer AX21.
Αρκετοί ερευνητές το ανακάλυψαν τον Ιανουάριο του 2023 και το ανέφεραν στον πωλητή μέσω του Zero-Day Initiative (ZDI). Το TP-Link αντιμετώπισε το πρόβλημα με την κυκλοφορία ενημερώσεων ασφαλείας υλικολογισμικού τον Μάρτιο του 2023. Το Proof-of-concept, εμφανίστηκε λίγο μετά τη δημοσιοποίηση των συμβουλών ασφαλείας.
Μετά από αυτό, οι ομάδες κυβερνοασφάλειας προειδοποίησαν για πολλά botnet, συμπεριλαμβανομένων τριών παραλλαγών Mirai και ενός botnet με το όνομα “Condi“, που στόχευε μη επιδιορθωμένες συσκευές TP-Link.
Χθες, η Fortinet εξέδωσε άλλη μια προειδοποίηση λέγοντας ότι παρατήρησε μια αύξηση της κακόβουλης δραστηριότητας που εκμεταλλεύεται την ευπάθεια, σημειώνοντας ότι προέρχεται από έξι λειτουργίες botnet.
Τα δεδομένα τηλεμετρίας της Fortinet δείχνουν ότι από τον Μάρτιο του 2024, οι καθημερινές προσπάθειες μόλυνσης με το CVE-2023-1389 συχνά ξεπέρασαν τις 40.000 και έφτασαν τις 50.000.
Κάθε ένα από αυτά τα botnet χρησιμοποιεί διαφορετικές μεθόδους και σενάρια για να εκμεταλλευτεί την ευπάθεια στις συσκευές TP-Link, να δημιουργήσει έλεγχο στις παραβιασμένες συσκευές και να τους δώσει εντολή να συμμετέχουν σε κακόβουλες δραστηριότητες, όπως επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS).
Δείτε ακόμα: Αυξημένη δραστηριότητα botnet τον τελευταίο μήνα
- AGoent: Κατεβάζει και εκτελεί σενάρια που ανακτούν και εκτελούν αρχεία ELF από έναν απομακρυσμένο διακομιστή και στη συνέχεια, διαγράφει τα αρχεία για να κρύψει τα ίχνη.
- Παραλλαγή Gafgyt: Εξειδικεύεται στις επιθέσεις DDoS με τη λήψη σεναρίων για την εκτέλεση δυαδικών αρχείων Linux και τη διατήρηση μόνιμων συνδέσεων με διακομιστές C&C.
- Moobot: Γνωστό για την εκκίνηση επιθέσεων DDoS, ανακτά και εκτελεί ένα σενάριο για τη λήψη αρχείων ELF, τα εκτελεί με βάση την αρχιτεκτονική και στη συνέχεια αφαιρεί τα ίχνη.
- Miori: Χρησιμοποιεί HTTP και TFTP για τη λήψη αρχείων ELF, τα εκτελεί και χρησιμοποιεί διαπιστευτήρια με σκληρό κώδικα για επιθέσεις brute force.
- Παραλλαγή Mirai: Πραγματοποιεί λήψη ενός σεναρίου που στη συνέχεια ανακτά αρχεία ELF, τα οποία συμπιέζονται χρησιμοποιώντας UPX. Παρακολουθεί και τερματίζει τα εργαλεία ανάλυσης πακέτων για να αποφύγει τον εντοπισμό.
- Condi: Χρησιμοποιεί μια δέσμη ενεργειών λήψης για να βελτιώσει τα ποσοστά μόλυνσης, αποτρέπει τις επανεκκινήσεις της συσκευής για διατήρηση της σταθερότητας και σαρώνει και τερματίζει συγκεκριμένες διαδικασίες για να αποφύγει τον εντοπισμό.
Η αναφορά της Fortinet αναφέρει ότι παρά την κυκλοφορία μιας ενημέρωσης ασφαλείας από τον προμηθευτή πέρυσι, ένας σημαντικός αριθμός χρηστών συνεχίζει να χρησιμοποιεί ξεπερασμένο firmware.
Συνιστάται στους χρήστες του δρομολογητή TP-Link Archer AX21 (AX1800) να ακολουθούν τις οδηγίες αναβάθμισης υλικολογισμικού του προμηθευτή, που είναι διαθέσιμες εδώ για να προστατευτούν από τα botnet. Θα πρέπει επίσης να αλλάξουν τους προεπιλεγμένους κωδικούς πρόσβασης διαχειριστή σε κάτι μοναδικό και μεγάλο και να απενεργοποιήσουν την πρόσβαση στον ιστό στον πίνακα διαχείρισης, εάν δεν χρειάζεται.
Δείτε επίσης: Το FBI “κατέρριψε” το Moobot botnet που χρησιμοποιούνταν από Ρώσους hackers
Πώς μπορεί κάποιος να προστατευτεί από τα Botnets;
Για να προστατευτεί κάποιος από τα Botnets, πρέπει πρώτα να διατηρεί το λογισμικό του ενημερωμένο. Αυτό περιλαμβάνει το λειτουργικό σύστημα, τον περιηγητή ιστού και οποιαδήποτε εφαρμογή χρησιμοποιεί. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την επίθεση των Botnets. Επιπλέον, η χρήση ενός αξιόπιστου προγράμματος antivirus είναι απαραίτητη. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να απομακρύνουν τον κακόβουλο κώδικα που χρησιμοποιούν τα Botnets για να ελέγξουν τον υπολογιστή. Είναι επίσης σημαντικό να είναι κάποιος προσεκτικός με τα email και τα μηνύματα που λαμβάνει. Πολλά Botnets εξαπλώνονται μέσω φαινομενικά ακίνδυνων μηνυμάτων που περιέχουν κακόβουλους συνδέσμους ή συνημμένα. Τέλος, η χρήση ενός δικτύου ιδιωτικού εικονικού δικτύου (VPN) μπορεί να βοηθήσει στην προστασία από τα Botnets.
Πηγή: bleepingcomputer
