Уязвимость WAN TP-Link CVE-2023-1389 добавлена в арсенал ботнета Mirai

vulnerability vulnerability
Опубликовано

На прошлой неделе команда охотников за угрозами Zero Day Initiative (ZDI) заметила новые попытки эксплойтов, поступающие из системы телеметрии в Восточной Европе, что указывает на то, что ботнет Mirai обновил свой арсенал, включив в него CVE-2023-1389, также известный как ZDI-CAN-19557/ZDI-23-451.

Эта ошибка в Wi-Fi маршрутизаторе TP-Link Archer AX21 была первоначально раскрыта ZDI во время мероприятия Pwn2Own в Торонто, где она была использована командой Team Viettel в их входе со стороны LAN против устройства TP-Link и Qrious Security в их входе со стороны WAN.

Подробности уязвимости

Сама ошибка представляет собой уязвимость неаутентифицированной инъекции команд в API локали, доступной через веб-интерфейс управления. Эта конечная точка позволяет пользователю указать форму, которую мы хотим вызвать, указав форму строки запроса вместе с операцией, которая обычно представляет собой чтение или запись. В данном случае нас интересует операция записи для формы страны, которая обрабатывается функцией set_country. Эта функция вызовет merge_config_by_country, которая объединит указанное поле страны в командную строку. Эта командная строка будет выполнена с помощью функции popen. Санитария поля country отсутствует, поэтому злоумышленник может выполнить инъекцию команды на этом этапе.

Эта функциональность открыта на стороне LAN маршрутизатора, о чем свидетельствуют как команда Viettel, так и Tenable, нацелившиеся на эту функциональность на конкурсе. Однако команда из Qrious Security смогла использовать эту уязвимость на WAN-интерфейсе маршрутизатора. Они обнаружили проблему состояния гонки, связанную с обработкой iptable на стороне WAN TP-Link, которая на короткое время открывала эту функциональность на стороне WAN. Это позволило им соединить слабые места состояния гонки с инъекцией команды API locale, чтобы получить выполнение кода на контесте. Согласно TP-Link, обе проблемы были устранены в патче, выпущенном 17 марта.

Indicators of Compromise

IPv4

  • 185.225.74.251

URLs

  • http://185.225.74.251/arc
  • http://185.225.74.251/armv4l
  • http://185.225.74.251/armv5l
  • http://185.225.74.251/armv6l
  • http://185.225.74.251/armv7l
  • http://185.225.74.251/i586
  • http://185.225.74.251/i686
  • http://185.225.74.251/m68k
  • http://185.225.74.251/mips
  • http://185.225.74.251/mipsel
  • http://185.225.74.251/sh4
  • http://185.225.74.251/sparc
  • http://185.225.74.251/x86_64

SHA256

  • 0d404a27c2f511ea7f4adb8aa150f787b2b1ff36c1b67923d6d1c90179033915
  • 2d0c8ab6c71743af8667c7318a6d8e16c144ace8df59a681a0a7d48affc05599
  • 366ddbaa36791cdb99cf7104b0914a258f0c373a94f6cf869f946c7799d5e2c6
  • 3f427eda4d4e18fb192d585fca1490389a1b5f796f88e7ebf3eceec51018ef4d
  • 413e977ae7d359e2ea7fe32db73fa007ee97ee1e9e3c3f0b4163b100b3ec87c2
  • 461f59a84ccb4805c4bbd37093df6e8791cdf1151b2746c46678dfe9f89ac79d
  • 4cb8c90d1e1b2d725c2c1366700f11584f5697c9ef50d79e00f7dd2008e989a0
  • 4f53eb7fbfa5b68cad3a0850b570cbbcb2d4864e62b5bf0492b54bde2bdbe44b
  • 888f4a852642ce70197f77e213456ea2b3cfca4a592b94647827ca45adf2a5b8
  • aaf446e4e7bfc05a33c8d9e5acf56b1c7e95f2d919b98151ff2db327c333f089
  • aed078d3e65b5ff4dd4067ae30da5f3a96c87ec23ec5be44fc85b543c179b777
  • b43a8a56c10ba17ddd6fa9a8ce10ab264c6495b82a38620e9d54d66ec8677b0c
  • b45142a2d59d16991a38ea0a112078a6ce42c9e2ee28a74fb2ce7e1edf15dce3
  • eca42235a41dbd60615d91d564c91933b9903af2ef3f8356ec4cfff2880a2f19
Похожие записи:
  1. Mirai Botnet IOC
  2. [GS-003] Mirai Botnet IOCs
  3. [GS-005] Mirai Botnet IOCs
  4. [GS-008] Mirai Botnet IOCs
  5. [GS-011] Mirai Botnet IOCs
Botnet CVE-2023-1389 Mirai Zero Day Initiative
Добавить комментарий