تعمل جهات خبيثة على استغلال ثغرة أمنية معروفة في عدد من أجهزة راوتر TP-Link القديمة، بهدف نشر برمجيات خبيثة من عائلة Mirai. هذه الهجمات تستهدف بشكل خاص الأجهزة التي لم تعد تتلقى تحديثات من الشركة المصنعة، مما يتركها عرضة للخطر.
الثغرة الأمنية، التي تحمل المعرف CVE-2023-33538، تؤثر على طرازات متعددة من راوترات TP-Link، بما في ذلك TL-WR940N (الإصدارات 2 و 4)، TL-WR740N (الإصدارات 1 و 2)، و TL-WR841N (الإصدارات 8 و 10). تعتمد هذه الأجهزة على واجهة إدارة الويب، حيث توجد نقطة ضعف تسمح للمهاجمين بإدخال أوامر خبيثة.
استغلال ثغرة CVE-2023-33538 في أجهزة TP-Link
تكمن المشكلة الرئيسية في عدم التحقق الكافي من صحة المدخلات في عنوان URL الخاص بنقطة النهاية /userRpm/WlanNetworkRpm. يسمح هذا الأمر للمهاجمين بتضمين أوامر ضارة ضمن معلمة `ssid`، والتي لا يتم تمحيصها بشكل صحيح من قبل البرنامج الثابت للجهاز.
ووفقاً لتحليلات أمنية، يتم إرسال طلبات HTTP GET خبيثة تستهدف هذه الثغرة. بمجرد قبولها، تقوم الأوامر بتنزيل ملف تنفيذي بصيغة ELF باسم `arm7` من خادم يقع على عنوان IP محدد، ثم تمنحه صلاحيات التنفيذ وتقوم بتشغيله فوراً.
يُعرف الملف التنفيذي `arm7` بأنه نسخة من برمجية التجسس والتحكم في الأجهزة المتصلة، والمعروفة بـ Condi IoT botnet، وهي مرتبطة بعائلة Mirai. بعد الإصابة، يقوم البرنامج بالتواصل مع خادم قيادة وسيطرة (C2) لدمج الجهاز المخترق ضمن شبكة أكبر من الأجهزة المصابة.
آلية عمل برمجية arm7 الخبيثة
بعد نجاح الاختراق، تبدأ برمجية `arm7` في تنفيذ سلسلة من المهام لضمان استمرار وجودها وتوسيع نطاق الإصابة. تعتمد البرمجية على استقبال أوامر محددة من خادم C2، والتي تشمل إشارات للتأكيد، وتحديثات للبرمجية نفسها، وتشغيل وظائف خادم HTTP داخلي.
إحدى الوظائف الهامة هي آلية التحديث الذاتي، حيث تقوم البرمجية بالاتصال بالخادم المحدد لجلب نسخ محدثة من نفسها، مصممة لمجموعة متنوعة من معماريات المعالجات. تتيح هذه القدرة للبرمجية الانتشار عبر شبكات أوسع.
علاوة على ذلك، تقوم البرمجية بتشغيل خادم HTTP على الجهاز المصاب، والذي يقوم بدوره بتقديم نسخ جديدة من البرمجية الخبيثة للأجهزة الأخرى التي تتصل به. هذه الآلية تزيد من سرعة انتشار العدوى دون الحاجة إلى تدخل مباشر من المهاجم.
على الرغم من أن الهجمات المرصودة قد تضمنت بعض الأخطاء الفنية في التنفيذ، إلا أن الخبراء يؤكدون على وجود الثغرة الأساسية نفسها. تشير الأبحاث إلى أن المهاجمين قد استهدفوا معلمة غير صحيحة، وأن أوامرهم اعتمدت على أدوات غير متوفرة في البيئة المحدودة للجهاز، مما يشير إلى أن استغلالاً أكثر دقة لهذه الثغرة ممكن.
ردت TP-Link بتأكيد أن الأجهزة المتأثرة قد وصلت إلى نهاية عمرها الافتراضي، ولن يتم توفير تحديثات رسمية لها. وتنصح الشركة المستخدمين باستبدال هذه الأجهزة بأخرى حديثة ومدعومة. كما تشدد على أهمية تغيير بيانات تسجيل الدخول الافتراضية لواجهة الإدارة، حيث أن استغلال هذه الثغرة يتطلب وصولاً مصرحاً به. يجب على المسؤولين عن الشبكات مراقبة حركة الخروج المرتبطة بالأجهزة، والتأكد من إيقاف تشغيل أي أجهزة TP-Link متأثرة لا تزال قيد الاستخدام.