Спецпроекты

Безопасность Техника

Шесть ботнетов паразитируют на одной старой уязвимости

«Баг» в роутерах TP-Link, выявленный и устранённый вендором в прошлом году, по-прежнему активно эксплуатируется для захвата контроля над роутерами и организации DDoS-атак.

Шестеро на одного

Старая уязвимость в роутерах TP-Link привлекла внимание как минимум шести ботнетов, которые теперь пытаются разными способами и с разными целями эксплуатировать её.

Уязвимость CVE-2023-1389 позволяет осуществлять инъекцию команд в веб-интерфейсе управления в роутерах TP-Link Archer AX21 (AX1800).

Этот «баг» был выявлен еще в январе 2023 г. Сразу несколько экспертов проинформировали о нём TP-Link через инициативу Zero-Day Initiative (ZDI). В марте TP-Link выпустил новую программную оболочку для уязвимых роутеров, которая устраняла ошибку.

Сразу шесть ботнетов эксплуатируют прошлогоднюю уязвимость в роутерах TP-Link

Демонстрационный эксплойт также не заставил себя ждать, а затем за эксплуатацию роутеров взялись и киберзлоумышленники.

«Роутеры и прочее сетевое оборудование слишком часто оказываются самым пренебрегаемым оборудованием», - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEQ. По ее словам, если в роутерах не реализованы механизмы автоматической установки обновлений, они могут оставаться уязвимыми бесконечно долго. «А значит, быть лакомой приманкой для всевозможных ботнетов, которые будут использовать их для разных вредоносных действий, например, переадресации спама или DDoS-атак», - подытожила Анастасия Мельникова.

Эксперты Fortinet заявили, что с начала марта наблюдают всплеск активности со стороны шести ботнетов; ежедневное количество попыток атаковать уязвимые роутеры несколько раз превышало 40 тыс., иногда вплотную подбираясь к 50 тыс.

Каждый по-своему

Каждый ботнет использует собственные методы и скрипты для эксплуатации уязвимости и захвата контроля над устройствами.

В частности, ботнет AGoent закачивает и запускает скрипты, которые, в свою очередь, загружают и запускают файлы ELF и удаленного сервера, а затем удаляет сами файлы, чтобы замести следы.

Ботнет Gafgyt загружает скрипты для запуска двоичных файлов Linux и установки постоянных соединений с командными серверами. Ботнет специализируется на DDoS-атаках.

Ботнет Moobot загружает и запускает скрипт для загрузки и выполнения файлов ELF; каких именно - зависит от архитектуры. После запуска файлы удаляются. Как и предыдущий, этот ботнет специализируется на DDoS-атаках.

Ботнет Miori использует протоколы HTTP и TFTP для загрузки файлов ELF, запускает их, а затем использует встроенные в код реквизиты доступа для брутфорс-атак.

Вариант ботнета Mirai скачивает скрипт, который затем загружает файлы ELF, сжатые с помощью UPX. Для того, чтобы избежать обнаружения, используется инструмент, отключающий средства анализа пакетов.

Ботнет Condi скачивает скрипт, который повышает количество заражений, предотвращает перезагрузку устройств для обеспечения постоянства работы и блокирует процессы, которые могли бы помочь его обнаружить.

По данным Fortinet, несмотря на то, что новые прошивки для уязвимых роутеров уже год как доступны, множество пользователей их проигнорировали и продолжают использовать уязвимые роутеры.

Что, скорее всего, означает значительное расширение перечисленных ботнетов.

Роман Георгиев

Короткая ссылка