TokyoBlackHatNews

gbhackers.com 5分で読了

CVE-2023-33538攻撃でTP-LinkルーターがMiraiに襲われる

ハッカーは脆弱なTP-Linkホームルーターを積極的にスキャンしており、CVE-2023-33538を悪用してMiraiスタイルのマルウェアを展開する新しい自動化攻撃の波に乗じています。

現在のエクスプロイト試行は技術的に欠陥があるものの、研究者は、基礎となるバグはデフォルト認証情報とサポート終了のファームウェアと組み合わせると現実的で危険であると警告しています。

これはTL-WR940N v2/v4、TL-WR740N v1/v2、TL-WR841N v8/v10モデルに影響を与えており、これらはすべてサポート終了となり、セキュリティアップデートを受け取らなくなっています。

バグは/userRpm/WlanNetworkRpm.htmエンドポイントに存在し、ここでルーターはWi-Fi設定パラメーターを処理します。

CVE-2023-33538はコマンドインジェクション複数の旧式なTP-Link Wi-Fiルーターのweb管理インターフェイスの欠陥です。

ssid1フィールドへの特別に細工された入力は、サニタイズされずにシェルコマンドに直接渡すことができ、攻撃者はデバイス上で任意のシステムコマンドを実行できます。

公開されている技術的なレポートと保存されたプルーフオブコンセプトエクスプロイトは、このパラメーターがどのように悪用されてシステムレベルのコマンドを影響を受けたファームウェア上で実行するかを文書化しています。

ボットネットオペレーターがMiraiに転向

研究者は最近、CISA が CVE-2023-33538 を2025年6月に既知の悪用された脆弱性カタログに追加するやいなや、脆弱なエンドポイントを対象とした大規模な自動化HTTP GETリクエストを観察しました。

Image

悪意のあるリクエストは、SSIDフィールドを通じてコマンドチェーンを注入し、IPアドレス51.38.137[.]113からarm7という名前のELFバイナリをダウンロードし、それを実行可能にしてtplink引数で実行しようとしました。

arm7サンプルの静的および動的分析により、それはMiraiのようなボットネットペイロードであり、CondiなどのIoTボットネットで以前に見られた「condi」ファミリーへの複数の参照が含まれていることが示されています。

Image

実行されると、バイナリはコマンドアンドコントロールサーバーに接続し、カスタムコマンドシーケンスを処理し、複数のCPUアーキテクチャ全体で自身を更新できるようになり、感染したルーターを分散サービス妨害(DDoS)ボットに変えます。

集中的なスキャンにもかかわらず、観察されたエクスプロイト試行は致命的な実装エラーに苦しんでいます。

第一に、実際の脆弱なフィールドがssid1であるにもかかわらず、多くのリクエストはssidパラメーターをターゲットにしており、これは注入されたコマンドがシェルコール​​をトリガーする実行パスに決して到達しないことを意味します。

第二に、成功したエクスプロイテーションはルーターのweb インターフェイスへの認証されたセッションが必要ですが、野生のトラフィックはファームウェアのログインフローで必要とされる有効なセッショントークンを確立せずに、基本的なadmin:adminヘッダーのみを使用しています。

最後に、エクスプロイトチェーンはwgetのようなツールに依存してマルウェアを取得していますが、テストされたTP-Linkファームウェアイメージは一般的なダウンロードユーティリティが不足している制限されたBusyBox環境を備えており、これらの特定のペイロードをさらに制限しています。

それでも、研究者はファームウェアエミュレーションとリバースエンジニアリングを通じて、脆弱性自体は本物であり、攻撃者が有効な認証情報を持ち、リクエストを正しく細工すれば悪用可能であることを確認しました。

execFormatCmd()関数はtp_SystemEx()を呼び出して、注入されたコンテンツを使用して「iwconfig %s essid %s」を実行します。

Image

したがって、インターネットに公開されているルーターのデフォルトまたは弱いパスワードは、この認証されたフローを信頼性の高いボットネット感染パスに変えることができるため、引き続き重大なリスクとなります。

ベンダーのアドバイスと防御者ガイダンス

TP-Linkは影響を受けたモデルはサポート終了であり、パッチを受け取らないと述べており、顧客にサポートされたハードウェアに交換し、デフォルト認証情報の使用を避けることを促しています。

ファームウェア(webアドミンパネルを含む)がエミュレートされると、ツールキットはブリッジネットワークインターフェイスを作成しました。

Image

セキュリティ情報とCISAのKEVエントリは、リモート管理をオフにすること、IoTデバイスを機密ネットワークから分離すること、強力で一意のアドミンパスワードを実施することを含む、追加のハードニングステップを推奨しています。

エンタープライズセキュリティプラットフォームを使用している組織は、URL/DNSフィルタリング、侵入防止、高度なマルウェア分析を通じて、特に既知のMiraiリンクインフラストラクチャへのトラフィックにフラグを立てることで、関連するアクティビティを検出またはブロックできます。

IoTルーターに対する継続的なボットネットの関心を考えると、インシデント対応チームは脆弱なTP-Linkユニットの急速な交換と、これらのデバイスから異常なアウトバウンド接続または繰り返されたログイン試行が検出される場合の即座の調査をお勧めしています。

翻訳元: https://gbhackers.com/tp-link-routers/

ソース: gbhackers.com
#CVE-2023-33538 #DDoS #IoT #Mirai #TP-Link #コマンドインジェクション #ボットネット #マルウェア #ルーター #脆弱性

関連記事

SEO中毒攻撃がMicrosoftバイナリを使用してRMMツールをインストール

工業用システムが新しいメールワーム脅威波に見舞われている

作戦PowerOFFが75,000人のDDoS攻撃者と50以上のサービスドメインを摘発