Skip to main content

TOTOLINK Command Injection Used in RustoBot and BeastMode Attacks

ยท 2 min read

TOTOLINK devices rentan terhadap serangan command injection melalui skrip cstecgi.cgi, yang merupakan bagian dari antarmuka web untuk mengelola konfigurasi perangkat. Kerentanan ini memungkinkan penyerang melakukan remote code execution dan menjadikan perangkat sebagai bagian dari botnet.

๐Ÿ“Œ Kerentanan yang Dimanfaatkanโ€‹

Beberapa CVE terkait yang telah diidentifikasi:

  • CVE-2022-26210 โ€“ kerentanan dalam fungsi setUpgradeFW
  • CVE-2022-26187 โ€“ kerentanan dalam fungsi pingCheck
  • CVE-2024-12987 โ€“ command injection pada perangkat DrayTek yang juga dikaitkan dengan aktivitas serangan botnet ini

๐Ÿ’ฅ Payload yang Digunakanโ€‹

Berikut payload yang digunakan untuk mengeksekusi perintah secara remote:

Payload TOTOLINK

Payload TOTOLINK Payload ini menjalankan perintah untuk mengunduh dan menjalankan file dari server penyerang.

๐Ÿ’ฃ Downloader Scriptโ€‹

Script tambahan yang digunakan untuk menyebarkan file binary untuk berbagai arsitektur:

Downloader Script

Script ini akan menghapus file lama dan mengunduh versi baru dari file malware untuk arsitektur arm5, arm6, arm7, mips, dan mpsl.

๐Ÿฆ  Malware: RustoBotโ€‹

Malware yang digunakan dalam serangan ini diberi nama RustoBot karena ditulis dalam bahasa pemrograman Rust. Malware ini dapat diidentifikasi dari string di dalam binary-nya:

RustoBot Library

โš ๏ธ Dampak terhadap Jaringanโ€‹

Router yang berhasil dieksploitasi akan digunakan untuk menghasilkan traffic upload yang sangat tinggi dan meluncurkan serangan DDoS secara massive attack dengan UDP RAW, TCP, dll.

Efek yang paling umum:

  • Router menjadi hang
  • Timeout pada koneksi PPPoE ke pelanggan
  • Pelanggan tidak bisa terhubung ke internet
  • Traffic upload ubnormal seperti gambar dibawah ini

SS-BOTNET-TOTOLINK-1

  • capture img 1

SS-BOTNET-TOTOLINK-1

  • capture img 2

โœ… Solusi & Mitigasiโ€‹

  • Segera upgrade firmware TOTOLINK ke versi terbaru yang tersedia
  • Putuskan koneksi internet perangkat TOTOLINK yang mencurigakan
  • Ganti router ke merek yang lebih aman, hindari penggunaan TOTOLINK untuk sementara
  • Gunakan firewall untuk memblokir IP berbahaya, contohnya 66.63.187.69

๐Ÿ“Ž Referensi CVEโ€‹

Sumber Beritaโ€‹

Note: RustoBot menggunakan router sebagai pintu masuk serangan. Lindungi perangkatmu sebelum terlambat.