Hơn 500.000 thiết bị IoT đứng trước nguy cơ lây nhiễm mã độc Mirai

16/06/2015
83
672 bài viết
Hơn 500.000 thiết bị IoT đứng trước nguy cơ lây nhiễm mã độc Mirai
Các nhà nghiên cứu đã xác định hơn 500.000 thiết bị IoT tồn tại lỗ hổng có thể dễ dàng bị bonet Mirai hoặc các botnet tương tự tấn công.

Tuần trước, mã nguồn của mã độc Mirai, chịu trách nhiệm cho cuộc tấn công từ chối dịch vụ DDoS lớn nhất lịch sử nhắm vào KrebsOnSecurity tháng trước, được phát hành công khai.
1489939951mirai.jpg



Theo một số hãng an ninh, các cuộc tấn công gồm một lượng lớn thiết bị IoT đã bị xâm nhập, chủ yếu là camera và DVR được bảo vệ bởi thông tin đăng nhập yếu hoặc mặc định.

Một trong các thông tin đăng nhập là root/xc3511. Theo Flashpoint, các thiết bị gắn liền với kết hợp tên đăng nhập/mật khẩu này là một phần đáng kể của bonet Mirai.

Các chuyên gia cho rằng sản phẩm giám sát video từ Dahua Technology chiếm tỷ lệ cao nhất trong các thiết bị bị xâm nhập.

Nhiều nhà sản xuất camera IP, DVR và NVR nhận các thành phần phần cứng và phần mềm từ một công ty Trung Quốc có tên gọi XiongMai Technologies. XiongMai chuyển phần mềm tồn tại lỗ hổng vào ít nhất nửa triệu thiết bị trên toàn thế giới.

Thực tế là các thiết bị này có thể được truy cập bằng thông tin đăng nhập mặc định không phải là nguy cơ lớn miễn là không thể truy cập từ Internet. Vấn đề là firmware được cung cấp bởi nhà sản xuất Trung Quốc cũng bao gồm một dịch vụ telnet được kích hoạt mặc định và cho phép truy cập từ xa dễ dàng vào thiết bị.

Tệ hơn, thông tin đăng nhập mặc định không thể thay đổi vì được mã hóa cứng trong firmware và không có tùy chọn để vô hiệu hóa. Dịch vụ telnet cũng rất khó vô hiệu hóa.

Sử dụng công cụ tìm kiếm Shodan quét trên Internet, Flashpoint tiết lộ hơn 500.000 thiết bị đứng trước nguy cơ tồn tại cả hai lỗ hổng, trở thành mục tiêu của Mirai và các botnet khác.

Các quốc gia có số lượng thiết bị tồn tại lỗ hổn cao nhất là Việt Nam (80.000), Brazil (62.000), Thổ Nhĩ Kỳ (40.000), Đài Loan (29.000), Trung Quốc (22.000), Hàn Quốc (21.000), Thái Lan (16.000), Ấn Độ (15.000) và Anh (14.000).

Flashpoint lưu ý trong khi botnet Mirai sử dụng nhiều thiết bị của Dahua, một số lượng đáng kể các IP được sử dụng trong các cuộc tấn công DDoS gần đây bắt nguồn từ sản phẩm của XiongMai. Dahua chiếm 65% các thiết bị lây nhiễm ở Hoa Kỳ, trong khi thiết bị XiongMai chiếm gần 70% ở các nước như Thổ Nhĩ Kỳ và Việt Nam, nơi xuất phát rất nhiều lưu lượng truy cập tấn công.

Theo nhà nghiên cứu chính, thông tin đăng nhập root/xc3511 đứng đầu danh sách của Mirai, cho thấy tội phạm mạng nhận thức được các thiết bị này rất phổ biến.

Theo SecurityWeek
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên