Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng
Cập nhật ngày 23/12/2014: Theo khảo sát của Bkav, trong danh sách các hãng sản xuất thiết bị bị cảnh báo thì tại Việt Nam chỉ có dòng TP - Link là còn dính lỗi, các hãng khác có sản phẩm tại Việt Nam không xuất hiện thiết bị dính lỗ hổng Misfortune Cookie.

Theo thống kê của Bkav, hơn 200.000 thiết bị mạng tại các hộ gia đình và văn phòng ở Việt Nam dính lỗ hổng nghiêm trọng trong phần mềm, cho phép tin tặc theo dõi dữ liệu của người dùng và chiếm quyền kiểm soát thiết bị từ xa. Số router này chỉ là một phần trong hơn 12 triệu thiết bị dính lỗ hổng theo báo cáo của hãng an ninh mạng Checkpoint.

1490893123Untitled.jpg


Bản đồ mức độ ảnh hưởng của lỗ hổng Misfortune Cookie trên toàn cầu. Việt Nam nằm ở mức 4/5 với hơn 200.000 thiết bị dính lỗ hổng

Lỗ hổng thực chất nằm trong web server "RomPager" (do AllegroSoft phát triển), thường được nhúng vào firmware cho router, modem và các thiết bị gateway của hầu như tất cả các hãng sản xuất hàng đầu thế giới hiện nay. Server HTTP này cung cấp một giao diện nền web thân thiện để người dùng cấu hình thiết bị.

Nghiên cứu của Checkpoint cho thấy RomPager các phiên bản trước 4.34 đều dính lỗ hổng mà hãng này đặt tên là Misfortune Cookie.

Lỗ hổng Misfortune Cookie (CVE-2014-9222) có thể bị khai thác bằng cách gửi đi một request đặc biệt đến server RomPager, gây lỗi bộ nhớ của thiết bị gateway, thay đổi trạng thái của ứng dụng và hệ thống để lừa thiết bị cấp quyền quản trị cho phiên truy cập của tin tặc. Từ đó, tin tặc chiếm quyền quản trị thiết bị và mở rộng tấn công sang bất cứ thiết bị nào khác trên cùng mạng.

Sau khi chiếm được thiết bị, tin tặc có thể toàn quyền theo dõi lịch sử duyệt web của nạn nhân, đọc dữ liệu dưới dạng văn bản thuần túy truyền đi qua thiết bị, thay đổi cấu hình DNS, lấy cắp các tài khoản và dữ liệu nhạy cảm, điều khiển hoặc theo dõi webcam, máy tính hoặc các thiết bị khác kết nối vào mạng.

Theo tìm hiểu, có ít nhất khoảng 200 model các thiết bị gateway hoặc router cho gia đình/ văn phòng của một loạt các thương hiệu lớn như D-Link, Edimax, Huawei, TP-Link, ZTE, và ZyXEL dính lỗ hổng Misfortune Cookie.

1490893123Chart.jpg



Tỉ lệ các router có lỗ hổng Misfortune Cookie theo ISP (tại Việt Nam). Tỉ lệ này cũng phản ánh đúng thị phần của các ISP này

Đáng nói là lỗ hổng không chỉ ảnh hưởng đến router, modem và các thiết bị gateway khác mà là bất cứ thứ gì kết nối đến chúng, từ máy tính, smartphone, tablet, máy in cho đến những thiết bị "nhà thông minh" như máy nướng bánh mỳ, tủ lạnh, camera an ninh... Điều này có nghĩa là nếu router có lỗ hổng, tất cả thiết bị trong mạng LAN đó đều có nguy cơ bị tấn công.

Kịch bản tấn công không đơn giản

Tin tặc có thể khai thác lỗ hổng Misfortune Cookie trên thiết bị nhà bạn từ bất cứ đâu trên thế giới, ngay cả khi thiết bị gateway đó không được cấu hình để cho phép truy cập giao diện quản trị từ xa, khiến lỗ hổng này càng thêm nguy hiểm.

Bởi rất nhiều router và thiết bị gateway được cấu hình để nhận request kết nối một cách công khai trên cổng 7547 (một phần trong giao thức quản trị từ xa có tên TR-069 hay CWMP), nên tin tặc có thể gửi một cookie độc hại từ xa đến chính cổng này và khai thác lỗ hổng.

Lỗ hổng nghiêm trọng trên phần mềm RomPager được phát hiện lần đầu năm 2002 và AllegroSoft cũng đã tiến hành vá từ năm 2005. Tuy nhiên các hãng phần cứng lớn như Huawei, D-Link, ZTE vẫn đang bán các thiết bị chứa bản RomPager trước 4.34 (và đặc biệt là 4.07) có lỗ hổng. Tìm hiểu của Bkav cho thấy tại Việt Nam, số thiết bị dính lỗ hổng là hơn 200.000, trên tổng số 12 triệu thiết bị toàn thế giới.

Misfortune Cookie là một lỗ hổng nghiêm trọng đang hiện diện tại hàng triệu ngôi nhà và văn phòng trên thế giới mà nếu không được phát hiện và xử lý, có thể cho phép tin tặc không chỉ lấy cắp dữ liệu mà còn điều khiển được cả ngôi nhà của người dùng.

Cho đến nay, chưa có một vụ tấn công cụ thể nào khai thác Misfortune Cookie được phát hiện.

Đánh giá

Theo nhận định của Bkav, sở dĩ lỗ hổng này được phát hiện từ lâu nhưng vẫn có trên 200.000 thiết bị tại Việt Nam dính lỗ hổng là bởi các hãng sản xuất, ISP và người dùng đều chưa quan tâm đến việc cập nhật firmware cho thiết bị giống như cập nhật bản vá cho phần mềm.

1490893123WP_20141220_001.jpg


Một số dòng router phổ biến được Bkav kiểm tra


1490893123TP-Link_TD-W8901N(Nmap).jpg


Kết quả kiểm tra các router trên qua Nmap cho thấy cổng 7547 có được mở, đặt người dùng vào nguy cơ bị khai thác lỗ hổng Misfortune Cookie

Người dùng có thể kiểm tra thiết bị mạng của gia đình hoặc văn phòng mình có dính lỗ hổng Misfortune Cookie hay không bằng công cụ được Bkav cung cấp miễn phí tại địa chỉ Tools.whitehat.vn. Nếu kết quả là có lỗ hổng, người dùng cần thông báo ngay tới quản trị mạng của cơ quan đơn vị hoặc nhờ bạn bè có hiểu biết về kỹ thuật nâng cấp firmware lên phiên bản mới nhất đối với thiết bị tại gia đình.

Bkav đang mở rộng nghiên cứu về lỗ hổng Misfortune Cookie và sẽ cung cấp thông tin chi tiết trong thời gian tới.

Nguồn: Bkav, The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

có cách nào gíải quyết lỗ hổng này không bạn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

Bác hỏi khó thế ;)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

nktung;18001 đã viết:
có cách nào gíải quyết lỗ hổng này không bạn?

Cách xử lý đây này bạn:

Người dùng có thể kiểm tra thiết bị mạng của gia đình hoặc văn phòng mình có dính lỗ hổng Misfortune Cookie hay không bằng công cụ được Bkav cung cấp miễn phí tại địa chỉ http://tools.whitehat.vnNếu kết quả là có lỗ hổng, người dùng cần thông báo ngay tới quản trị mạng của cơ quan đơn vị hoặc nhờ bạn bè có hiểu biết về kỹ thuật nâng cấp firmware lên phiên bản mới nhất đối với thiết bị tại gia đình.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

Sai link rồi bạn ơi, edit lại đi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Hàng trăm nghìn thiết bị mạng tại Việt Nam dính lỗ hổng nghiêm trọng

nktung;18124 đã viết:
Sai link rồi bạn ơi, edit lại đi
Link sửa lại rùi bạn nhé.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên