本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
目前发现至少有六种不同的僵尸网络恶意软件正在利用去年命令注入安全问题影响的TP-Link Archer AX21(AX1800)路由器。该缺陷编号为CVE-2023-1389,是可通过TP-Link Archer AX21 Web管理界面访问的区域设置API中的高严重性未经身份验证的命令注入问题。
研究人员于2023年1月发现了该问题,并通过零日计划(ZDI)向供应商报告。TP-Link于2023年3月通过发布固件安全更新解决了该问题,在安全公告公开后不久,概念验证漏洞利用代码就出现了。
随后,网络安全团队就多个僵尸网络发出警告,包括三个Mirai变体(1、2、3)和一个名为“Condi”的僵尸网络,其目标是未打补丁的设备。
本周,Fortinet再次发出警告,称其观察到利用该漏洞的恶意活动激增,并指出该漏洞源自六次僵尸网络操作。
Fortinet的遥测数据显示,从2024年3月开始,利用CVE-2023-1389的每日感染尝试通常超过40000次,最高可达50000次。
有关CVE-2023-1389的活动图
针对这个漏洞的多起攻击,重点关注Moobot、Miori、基于Golang的代理AGoent和Gafgyt变体等僵尸网络。每个僵尸网络都利用不同的方法和脚本来利用漏洞,建立对受感染设备的控制,并命令它们参与分布式拒绝服务(DDoS)攻击等恶意活动。
AGoent:下载并执行从远程服务器获取并运行ELF文件的脚本,然后擦除文件以隐藏痕迹。
Gafgyt变体:通过下载脚本来执行Linux二进制文件并维护与C&C服务器的持久连接,专门从事DDoS攻击。
Moobot:以发起DDoS攻击而闻名,它获取并执行脚本来下载ELF文件,根据架构执行它们,然后删除痕迹。
Miori:利用HTTP和TFTP下载ELF文件,执行它们,并使用硬编码凭据进行暴力攻击。
Miori用于暴力破解帐户的凭据列表
Mirai变体:下载一个脚本,随后获取使用UPX压缩的ELF文件,监视和终止数据包分析工具以避免检测。
Condi:使用下载程序脚本来提高感染率,防止设备重新启动以保持持久性,并扫描并终止特定进程以避免检测。
Fortinet表示,尽管供应商去年发布了安全更新,但仍有大量用户在继续使用过时的固件。建议TP-Link Archer AX21(AX1800)路由器用户遵循供应商的固件升级说明进行安全更新,并将默认的管理员密码更改为较长的密码,并在不需要时禁用对管理面板的网络访问。
