2023 年 5 月出现了一种名为“Condi”的新型 DDoS 即服务僵尸网络,它利用 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器中的漏洞构建僵尸大军来进行攻击。
AX1800 是一款流行的基于 Linux 的双频 (2.4GHz + 5GHz) Wi-Fi 6 路由器,具有 1.8 Gbps 带宽,主要由家庭用户、小型办公室、商店、咖啡馆等使用。
Condi 旨在招募新设备来创建强大的 DDoS(分布式拒绝服务)僵尸网络,可以租用该僵尸网络对网站和服务发起攻击。
此外,Condi 背后的威胁行为者出售恶意软件的源代码,这是一种异常激进的货币化方法,注定会导致大量具有不同功能的项目分叉
出售 DDoS 服务和源代码的 Condi 商店 (Fortinet)
今天发布的一份新的Fortinet 报告解释说,Condi 的目标是 CVE-2023-1389,这是路由器 Web 管理界面 API 中的一个高严重性的未经身份验证的命令注入和远程代码执行缺陷。
ZDI 发现了该漏洞,并于 2023 年 1 月向网络设备供应商报告,TP-Link 于 3 月发布了安全更新,版本为 1.1.4 Build 20230219。
Condi 是继 Mirai 于 4 月底利用该漏洞后,第二个针对此漏洞的 DDoS 僵尸网络。
为了处理攻击重叠,Condi 有一种机制尝试杀死属于已知竞争对手僵尸网络的任何进程。同时,它也会停止其自身的旧版本。
由于 Condi 没有在设备重新启动之间生存的持久性机制,因此其作者决定为其配备以下文件的擦除器,以防止设备关闭或重新启动:
/usr/sbin/reboot/usr/bin/reboot/usr/sbin/shutdown/usr/bin/shutdown/usr/sbin/poweroff/usr/bin/poweroff/usr/sbin/halt/usr/bin/halt
为了传播到易受攻击的 TP-Link 路由器,恶意软件会扫描具有开放端口 80 或 8080 的公共 IP,并发送硬编码的利用请求以下载和执行感染新设备的远程 shell 脚本。
CVE-2023-1389 漏洞利用请求 (Fortinet)
Fortinet 提到,虽然它分析的样本包含 CVE-2023-1389 扫描仪,但它还观察到其他 Condi 样本使用不同的缺陷进行传播,因此其作者或操作员可能正在这方面进行实验。
此外,分析人员还发现了使用带有 ADB(Android 调试桥)源的 shell 脚本的样本,这可能表明僵尸网络是通过具有开放 ADB 端口 (TCP/5555) 的设备传播的。
据推测,这是多个威胁行为者购买了 Condi 源代码并根据他们认为合适的方式调整其攻击的直接结果。
关于Condi的DDoS攻击能力,该恶意软件支持与Mirai类似的各种TCP和UDP洪水方法。
较旧的样本还包含 HTTP 攻击方法;然而,这些似乎已在最新的恶意软件版本中被删除。
Archer AX21 AX1800 双频 Wi-Fi 6 路由器的所有者可以从TP-Link 下载中心获取其设备硬件版本的最新固件更新。
TP-Link 路由器受感染的迹象包括设备过热、网络中断、设备网络设置发生莫名其妙的更改以及管理员用户密码重置。
https://github.com/trickest/cve/blob/main/2023/CVE-2023-1389.md
原文始发于微信公众号(Ots安全):利用 TP-Link AX21 路由器构建 DDoS 僵尸网络
