TP-Link 路由器漏洞被 Mirai 僵尸网络变种利用

执行摘要

攻击者正在积极利用TP-Link Archer AX21（AX1800）Wi-Fi 6路由器中的关键命令注入漏洞CVE-2023-33538，安装Mirai僵尸网络恶意软件的一个变种。根据Palo Alto Networks Unit 42的分析，这些利用尝试涉及下载并执行恶意二进制文件的有效载荷，使威胁行为者能够完全控制被入侵的设备。主要目标似乎是将路由器征召进分布式拒绝服务（DDoS）僵尸网络，并从设备的本地存储中窃取凭证。

技术分析

该漏洞存在于运行固件版本1.1.4 Build 20230509之前的TP-Link Archer AX21路由器上的tcpip服务（/usr/bin/tcpip）。正如Unit 42所详述的，这个缺陷是服务处理PingAddr参数时的一个命令注入问题。服务以root权限运行，这意味着成功利用将导致整个系统被入侵。

观察到的利用链遵循一个可预测的模式。攻击者向路由器的Web管理界面发送一个精心制作的HTTP POST请求，在PingAddr字段中注入一个命令。这个命令通常使用wget或curl从远程服务器下载一个shell脚本，将其管道传输给sh执行，然后删除脚本以掩盖其行踪。反过来，shell脚本会获取并执行一个针对路由器CPU架构（在这种情况下，ARM）量身定制的恶意ELF二进制文件。

下载的二进制文件是Mirai的一个变种。执行后，它尝试杀死与其他恶意软件家族相关的竞争进程，建立持久性，并连接到命令和控制（C2）服务器。恶意软件配备了Mirai的标准能力，可以使用各种协议（UDP、TCP、HTTP洪水）发起DDoS攻击。这个变种中一个值得注意的新增模块是设计用来刮取包含password和user字符串的路由器文件系统的文件，并将它们泄露到C2服务器。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

威胁行为者采用以下战术、技术与程序（TTPs），映射到MITRE ATT&CK框架：

• 初始访问： 通过路由器的Web界面利用公开面向应用（T1190）。
• 执行： 通过注入命令，使用命令和脚本解释器：Unix Shell（T1059.004）。
• 持久性： 通过安装的恶意软件服务创建或修改系统进程（T1543）。
• 防御规避： 通过删除下载的shell脚本，在主机上移除指标（T1070）。
• 收集： 通过搜索密码字符串，收集未加密的凭证：文件中的凭证（T1552.001）。
• 命令和控制： 应用层协议：Web协议（T1071.001）用于C2通信。
• 影响： 通过DDoS攻击能力，实现网络拒绝服务（T1498）。

威胁行为者背景

这些利用尝试带有以财务为动机的僵尸网络运营商的特征，这是基于Mirai的活动的常见概况。主要目标是构建一个能够出租用于DDoS攻击或用于凭证窃取的弹性网络（机器人）。针对一个特定的、广泛分布的消费路由器模型表明，这是一种机会主义的、可扩展的方法，而不是有针对性的攻击。使用已知漏洞（CVE-2023-33538）表明，威胁行为者正在扫描并利用未打补丁的、面向互联网的设备，该漏洞在2023年中期被TP-Link修补。

缓解措施与建议

TP-Link在2023年5月发布了CVE-2023-33538的补丁。最主要的也是最关键的缓解措施是确保受影响的TP-Link Archer AX21路由器更新到固件版本1.1.4 Build 20230509或更高版本。用户应在路由器的Web管理界面中验证他们当前的固件版本，并立即应用任何可用的更新。

其他防御行动包括：

• 如果不需要远程管理（WAN侧管理），则在路由器上禁用它。
• 将默认的管理员凭证更改为强大、独特的密码。
• 实施网络分段，将IoT设备与关键内部网络隔离。
• 监控网络流量，寻找意外的出站连接，特别是到未知IP地址的非标准端口，这可能表明C2通信。 组织应将IoT设备漏洞管理纳入其安全计划，因为这些设备是频繁的初始访问向量。