-
09/04/2020
-
128
-
1.652 bài viết
Khai thác lỗ hổng router Tenda và nền tảng n8n để chiếm quyền thiết bị
Một chiến dịch tấn công mạng quy mô toàn cầu vừa được phát hiện đang lợi dụng các lỗ hổng mới công bố trong router Tenda AC1206 và nền tảng tự động hóa quy trình n8n để phát tán mã độc botnet. Theo báo cáo từ đội Ứng cứu sự cố bảo mật của Akamai Technologies, chiến dịch này sử dụng biến thể của họ mã độc Mirai, được đặt tên là Zerobot và đã ghi nhận hoạt động khai thác thực tế trên hệ thống honeypot toàn cầu của hãng từ giữa tháng 1/2026.
Chiến dịch cho thấy xu hướng đáng lo ngại, tin tặc ngày càng nhanh chóng vũ khí hóa các lỗ hổng vừa được công bố để triển khai botnet trên diện rộng, nhắm vào cả thiết bị IoT gia đình lẫn nền tảng tự động hóa được dùng trong môi trường doanh nghiệp và hạ tầng quan trọng.
Zerobot là gì và được phát hiện như thế nào?
Zerobot là một biến thể thuộc họ botnet Mirai, vốn nổi tiếng với khả năng lây nhiễm thiết bị IoT và biến chúng thành mạng lưới tấn công DDoS. Theo Akamai, chiến dịch hiện tại khai thác đồng thời nhiều lỗ hổng bảo mật vừa được công bố công khai, trong đó nổi bật là hai mã CVE:
- CVE-2025-7544: Lỗ hổng tràn bộ đệm trên router Tenda AC1206
- CVE-2025-68613: Lỗ hổng thực thi mã từ xa trên nền tảng n8n
Các cuộc tấn công được ghi nhận trên mạng lưới honeypot toàn cầu của Akamai, nơi các chuyên gia quan sát thấy tin tặc chủ động khai thác router Tenda để thực thi mã độc và triển khai payload Zerobot.
Phân tích kỹ thuật từng lỗ hổng
1. CVE-2025-7544: Tràn bộ đệm trên Tenda AC1206 (CVSS 8,8)
Lỗ hổng này ảnh hưởng tới router Tenda AC1206, cụ thể tại endpoint /goform/setMacFilterCfg.
Bản chất vấn đề là lỗi xử lý tham số deviceList. Khi thiết bị không kiểm soát chặt chẽ độ dài dữ liệu đầu vào, kẻ tấn công có thể gửi một yêu cầu HTTP được chế tạo đặc biệt để gây tràn bộ đệm ngăn xếp. Hậu quả là mã độc có thể được thực thi từ xa với quyền hệ thống.
Lỗ hổng được phát hiện từ tháng 7/2025 và đã có mã khai thác PoC công khai, khiến việc tấn công trở nên tương đối dễ dàng. Phiên bản bị ảnh hưởng là 15.03.06.23. Với điểm CVSS 8,8/10, đây được xếp loại nghiêm trọng cao.
Bản chất vấn đề là lỗi xử lý tham số deviceList. Khi thiết bị không kiểm soát chặt chẽ độ dài dữ liệu đầu vào, kẻ tấn công có thể gửi một yêu cầu HTTP được chế tạo đặc biệt để gây tràn bộ đệm ngăn xếp. Hậu quả là mã độc có thể được thực thi từ xa với quyền hệ thống.
Lỗ hổng được phát hiện từ tháng 7/2025 và đã có mã khai thác PoC công khai, khiến việc tấn công trở nên tương đối dễ dàng. Phiên bản bị ảnh hưởng là 15.03.06.23. Với điểm CVSS 8,8/10, đây được xếp loại nghiêm trọng cao.
2. CVE-2025-68613: RCE trên nền tảng n8n (CVSS 9,9)
Lỗ hổng thứ hai ảnh hưởng tới nền tảng tự động hóa quy trình n8n.
Lỗi phát sinh do cơ chế đánh giá biểu thức an toàn trong workflow. Tin tặc có thể chèn mã độc thông qua biểu thức được xử lý sai cách, từ đó thực thi mã tùy ý trên máy chủ.
Điều đáng lo ngại là lỗ hổng này cho phép khai thác từ xa mà không cần xác thực. Kẻ tấn công có thể truy cập:
Lỗi phát sinh do cơ chế đánh giá biểu thức an toàn trong workflow. Tin tặc có thể chèn mã độc thông qua biểu thức được xử lý sai cách, từ đó thực thi mã tùy ý trên máy chủ.
Điều đáng lo ngại là lỗ hổng này cho phép khai thác từ xa mà không cần xác thực. Kẻ tấn công có thể truy cập:
- Biến môi trường
- API key
- Tệp cấu hình
- Dữ liệu nhạy cảm của hệ thống
Phiên bản bị ảnh hưởng gồm 0.211.0 đến 1.120.3, 1.121.0 và các bản đầu của 1.122.x. Với điểm CVSS 9,9/10, đây gần như ở mức tối đa về độ nghiêm trọng.
Cơ chế hoạt động của chiến dịch Zerobot
Quá trình tấn công diễn ra theo chuỗi nhiều bước. Trước tiên, tin tặc quét Internet để tìm router Tenda dễ tổn thương. Khi khai thác thành công lỗ hổng tràn bộ đệm, chúng cài đặt một shell script độc hại có tên tol.sh. Script này tải xuống payload chính của Zerobot từ các miền lưu trữ trên nền tảng Vercel, giúp che giấu nguồn phát tán.
Sau khi cài đặt, Zerobot kết nối tới máy chủ điều khiển (C2). Từ đây, botnet có thể:
Sau khi cài đặt, Zerobot kết nối tới máy chủ điều khiển (C2). Từ đây, botnet có thể:
- Phát động tấn công DDoS
- Tải bộ công cụ đánh cắp thông tin nhiều giai đoạn
- Thu thập mật khẩu trình duyệt
- Đánh cắp khóa SSH
- Truy xuất kho mã nguồn Git
Việc nhắm vào n8n đặc biệt nguy hiểm vì nền tảng này thường được sử dụng trong môi trường doanh nghiệp và thậm chí hạ tầng quan trọng. Nếu bị chiếm quyền, tin tặc có thể di chuyển ngang trong mạng nội bộ.
Mức độ nguy hiểm và phạm vi ảnh hưởng
Chiến dịch này nguy hiểm ở nhiều khía cạnh.
Thứ nhất, router Tenda là thiết bị phổ biến trong hộ gia đình và văn phòng nhỏ. Khi bị lây nhiễm, người dùng hầu như không nhận biết được, trong khi thiết bị âm thầm tham gia botnet.
Thứ hai, n8n được sử dụng trong nhiều ngành công nghiệp để tự động hóa quy trình. Nếu bị khai thác, hậu quả không chỉ là DDoS mà còn rò rỉ dữ liệu nhạy cảm, đánh cắp thông tin nhà phát triển và xâm nhập sâu vào hệ thống doanh nghiệp.
Thứ ba, việc Zerobot tận dụng CVE vừa công bố cho thấy chu kỳ “công bố - khai thác” ngày càng rút ngắn. Khi PoC đã tồn tại công khai, bất kỳ nhóm tội phạm mạng nào cũng có thể nhanh chóng triển khai tấn công.
Thứ nhất, router Tenda là thiết bị phổ biến trong hộ gia đình và văn phòng nhỏ. Khi bị lây nhiễm, người dùng hầu như không nhận biết được, trong khi thiết bị âm thầm tham gia botnet.
Thứ hai, n8n được sử dụng trong nhiều ngành công nghiệp để tự động hóa quy trình. Nếu bị khai thác, hậu quả không chỉ là DDoS mà còn rò rỉ dữ liệu nhạy cảm, đánh cắp thông tin nhà phát triển và xâm nhập sâu vào hệ thống doanh nghiệp.
Thứ ba, việc Zerobot tận dụng CVE vừa công bố cho thấy chu kỳ “công bố - khai thác” ngày càng rút ngắn. Khi PoC đã tồn tại công khai, bất kỳ nhóm tội phạm mạng nào cũng có thể nhanh chóng triển khai tấn công.
Khuyến nghị phòng tránh và giảm thiểu rủi ro
Các chuyên gia an ninh mạng khuyến cáo:
- Cập nhật firmware router Tenda lên phiên bản mới nhất ngay khi có bản vá
- Kiểm tra phiên bản n8n đang sử dụng và nâng cấp khẩn cấp nếu nằm trong dải bị ảnh hưởng
- Giám sát lưu lượng mạng bất thường, đặc biệt là kết nối ra ngoài không rõ nguồn gốc
- Triển khai giải pháp phát hiện xâm nhập (IDS/IPS) và công cụ phát hiện botnet
- Vô hiệu hóa truy cập quản trị từ Internet nếu không cần thiết
- Thay đổi mật khẩu quản trị mặc định và bật xác thực mạnh
Việc cập nhật định kỳ và quản lý bản vá cần được coi là yêu cầu bắt buộc, không phải tùy chọn.
Botnet hiện đại không còn chỉ khai thác mật khẩu mặc định hay cấu hình yếu. Chúng tận dụng các lỗ hổng nghiêm trọng vừa được công bố, nhắm vào cả thiết bị IoT phổ biến lẫn nền tảng tự động hóa dùng trong môi trường doanh nghiệp. Bài học rút ra là các tổ chức và cá nhân cần theo dõi sát thông tin lỗ hổng, cập nhật hệ thống kịp thời và duy trì giám sát an ninh liên tục. Chỉ khi chủ động phòng thủ, chúng ta mới có thể giảm thiểu nguy cơ trở thành một phần của botnet toàn cầu tiếp theo.
Botnet hiện đại không còn chỉ khai thác mật khẩu mặc định hay cấu hình yếu. Chúng tận dụng các lỗ hổng nghiêm trọng vừa được công bố, nhắm vào cả thiết bị IoT phổ biến lẫn nền tảng tự động hóa dùng trong môi trường doanh nghiệp. Bài học rút ra là các tổ chức và cá nhân cần theo dõi sát thông tin lỗ hổng, cập nhật hệ thống kịp thời và duy trì giám sát an ninh liên tục. Chỉ khi chủ động phòng thủ, chúng ta mới có thể giảm thiểu nguy cơ trở thành một phần của botnet toàn cầu tiếp theo.
Theo Cyber