Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Biến thể mã độc Mirai nhắm tới các thiết bị router và modem
Một mã độc dựa trên Mirai đã được sử dụng trong các cuộc tấn công gần đây nhắm tới các router và modem. Các chuyên gia xác nhận một số lượng lớn các thiết bị trên toàn thế giới có thể bị tấn công.
Nhiều thiết bị lây nhiễm Mirai và các mã độc khác có thể dễ dàng bị tấn công. Mirai là mã độc đứng sau một số cuộc tấn công DDoS lớn nhất trong lịch sử và ngày càng được sử dụng phổ biến sau khi mã nguồn được công khai.
Các chuyên gia BadCyber gần đây được thông báo về việc cổng Zyxel AMG1202-T10B của người dùng cứ 15-20 phút lại khởi động lại. Qua phân tích, hacker đã cố thực thi từ xa các lệnh độc hại và chèn vào trường tên máy chủ giao thức thời gian mạng (NTP). Tên máy chủ NTP được phân tích như một lệnh mà không được xác thực, dẫn đến một lỗ hổng RCE.
Đoạn mã độc được chèn vào trường tên máy chủ NTP thông qua giao thức TR-064, cho phép các ISP quản lý các thiết bị trên mạng của mình. Vấn đề là một số thiết bị được cấu hình để nhận lệnh TR-064 từ Internet, cho phép kẻ tấn công lợi dụng tính năng này cho các hành vi độc hại.
Các chuyên gia cảnh báo hồi đầu tháng về các lệnh TR-064 có thể được gửi đến modem D1000 do ISP Eir (Ireland) cung cấp. Một kẻ tấn công có thể gửi các lệnh để hướng dẫn modem mở cổng 80 trên firewall, cho phép truy cập từ xa vào giao diện quản trị web của thiết bị. Điều đáng chú ý là modem D1000 cũng được sản xuất bởi Zyxel.
Kết quả tìm kiếm trên Shodan cho thấy, hàng chục nghìn modem D1000 bị ảnh hưởng. BadCyber tiến hành nghiên cứu và phát hiện hơn 5 triệu thiết bị có thể bị tấn công, đa số ở Brazil, Ấn Độ, Anh và nhiều nước châu Âu khác.
Mã độc được các chuyên gia phát hiện sử dụng mã nguồn của Mirai và PoC thu lượm hồi đầu tháng 11, khi vấn đề TR-064 được công khai. Mã độc được thiết kế để quét cho các thiết bị dễ bị ảnh hưởng, bao gồm các kiến trúc MIPS và ARM. Một khi lây nhiễm thiết bị, mã độc sẽ ngăn chặn các truy cập từ bên ngoài bằng tắt các dịch vụ Telnet và đóng cổng được sử dụng bởi TR-064.
Nhiều thiết bị lây nhiễm Mirai và các mã độc khác có thể dễ dàng bị tấn công. Mirai là mã độc đứng sau một số cuộc tấn công DDoS lớn nhất trong lịch sử và ngày càng được sử dụng phổ biến sau khi mã nguồn được công khai.
Các chuyên gia BadCyber gần đây được thông báo về việc cổng Zyxel AMG1202-T10B của người dùng cứ 15-20 phút lại khởi động lại. Qua phân tích, hacker đã cố thực thi từ xa các lệnh độc hại và chèn vào trường tên máy chủ giao thức thời gian mạng (NTP). Tên máy chủ NTP được phân tích như một lệnh mà không được xác thực, dẫn đến một lỗ hổng RCE.
Đoạn mã độc được chèn vào trường tên máy chủ NTP thông qua giao thức TR-064, cho phép các ISP quản lý các thiết bị trên mạng của mình. Vấn đề là một số thiết bị được cấu hình để nhận lệnh TR-064 từ Internet, cho phép kẻ tấn công lợi dụng tính năng này cho các hành vi độc hại.
Các chuyên gia cảnh báo hồi đầu tháng về các lệnh TR-064 có thể được gửi đến modem D1000 do ISP Eir (Ireland) cung cấp. Một kẻ tấn công có thể gửi các lệnh để hướng dẫn modem mở cổng 80 trên firewall, cho phép truy cập từ xa vào giao diện quản trị web của thiết bị. Điều đáng chú ý là modem D1000 cũng được sản xuất bởi Zyxel.
Kết quả tìm kiếm trên Shodan cho thấy, hàng chục nghìn modem D1000 bị ảnh hưởng. BadCyber tiến hành nghiên cứu và phát hiện hơn 5 triệu thiết bị có thể bị tấn công, đa số ở Brazil, Ấn Độ, Anh và nhiều nước châu Âu khác.
Mã độc được các chuyên gia phát hiện sử dụng mã nguồn của Mirai và PoC thu lượm hồi đầu tháng 11, khi vấn đề TR-064 được công khai. Mã độc được thiết kế để quét cho các thiết bị dễ bị ảnh hưởng, bao gồm các kiến trúc MIPS và ARM. Một khi lây nhiễm thiết bị, mã độc sẽ ngăn chặn các truy cập từ bên ngoài bằng tắt các dịch vụ Telnet và đóng cổng được sử dụng bởi TR-064.
Nguồn: SecurityWeek