Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng cho phép thay đổi DNS không cần cấp quyền trên router D-Link
Thiết lập DNS của một số mẫu router D-Link có thể bị thay đổi mà không cần cấp quyền thông qua kênh quản trị qua giao diện web.
Với lỗ hổng này, tin tặc không cần được cấp quyền cũng có thể chuyển hướng người dùng đến các các vị trí chứa mã độc hoặc trang phishing.
Hiện tại có thể lỗ hổng đã được vá
Chuyên gia Todor Donev, thành viên của một nhóm nghiên cứu an ninh mạng Bulgary đã tiến hành khai thác lỗ hổng. Nghiên cứu của Donev thực hiện chủ yếu trên dòng thiết bị D-Link DSL-2740R. Tuy nhiên, theo cảnh báo chuyên gia đưa ra ngày 27/1, các router khác của D-Link cũng bị ảnh hưởng bởi lỗ hổng, tuy nhiên không đưa ra danh sách cụ thể thiết bị.
Hiện tại, chưa có thông tin về việc Donev đã liên hệ với D-Link về lỗ hổng hay chưa.
Trên trang sản phẩm của D-Link, dòng router DSL-2740R vừa được rút khỏi thị trường, không còn được bán. Tuy nhiên, điều này có nghĩa sự hỗ trợ của hãng cho sản phẩm vẫn còn trong thời gian bảo hành.
Công nghệ DNS có nhiệm vụ thay đổi tên miền thành địa chỉ IP của các máy chủ host website. Nếu như thiết bị gateway mạng được cấu hình để kết nối tới một máy chủ DNS giả mạo, nội dung đưa ra cũng thay đổi.
Các nguy cơ tấn công
Trong cảnh báo, Donev cho biết việc thay đổi cài đặt DNS là đặc biệt hữu ích đối với tin tặc. Một trong những nguy cơ từ khai thác lỗ hổng đó là thay thế các quảng cáo trên các trang web hợp pháp mà nạn nhân truy cập theo ý muốn của hacker. Đặc biệt, việc kiểm soát và chuyển hướng lưu lượng mạng của người dùng có nguy cơ cao nhất.
“Những người dùng đang sử dụng sản phẩm đã bị hacker khai thác có thể không được cấp quyền truy cập để tải về hệ điều hành và các bản cập nhật phần mềm quan trọng từ nhà cung cấp như Microsoft hay các nhà cung cấp tương ứng khác”, Donev cho biết.
Điều quan trọng cần lưu ý là việc khai thác lỗ hổng yêu cầu router có thể truy cập từ Internet; hầu hết các router cũ đều có tùy chọn này kích hoạt mặc định.
Việc tấn công hạn chế đối với truy cập từ bên ngoài, tuy nhiên tin tặc có thể vượt qua hạn chế này bằng phương pháp CSRF (cross-site forgery request - kỹ thuật tấn công mượn quyền trái phép), nếu người dùng truy cập một website đã bị xâm nhập trước đó.
Với lỗ hổng này, tin tặc không cần được cấp quyền cũng có thể chuyển hướng người dùng đến các các vị trí chứa mã độc hoặc trang phishing.
Chuyên gia Todor Donev, thành viên của một nhóm nghiên cứu an ninh mạng Bulgary đã tiến hành khai thác lỗ hổng. Nghiên cứu của Donev thực hiện chủ yếu trên dòng thiết bị D-Link DSL-2740R. Tuy nhiên, theo cảnh báo chuyên gia đưa ra ngày 27/1, các router khác của D-Link cũng bị ảnh hưởng bởi lỗ hổng, tuy nhiên không đưa ra danh sách cụ thể thiết bị.
Hiện tại, chưa có thông tin về việc Donev đã liên hệ với D-Link về lỗ hổng hay chưa.
Trên trang sản phẩm của D-Link, dòng router DSL-2740R vừa được rút khỏi thị trường, không còn được bán. Tuy nhiên, điều này có nghĩa sự hỗ trợ của hãng cho sản phẩm vẫn còn trong thời gian bảo hành.
Công nghệ DNS có nhiệm vụ thay đổi tên miền thành địa chỉ IP của các máy chủ host website. Nếu như thiết bị gateway mạng được cấu hình để kết nối tới một máy chủ DNS giả mạo, nội dung đưa ra cũng thay đổi.
Các nguy cơ tấn công
Trong cảnh báo, Donev cho biết việc thay đổi cài đặt DNS là đặc biệt hữu ích đối với tin tặc. Một trong những nguy cơ từ khai thác lỗ hổng đó là thay thế các quảng cáo trên các trang web hợp pháp mà nạn nhân truy cập theo ý muốn của hacker. Đặc biệt, việc kiểm soát và chuyển hướng lưu lượng mạng của người dùng có nguy cơ cao nhất.
“Những người dùng đang sử dụng sản phẩm đã bị hacker khai thác có thể không được cấp quyền truy cập để tải về hệ điều hành và các bản cập nhật phần mềm quan trọng từ nhà cung cấp như Microsoft hay các nhà cung cấp tương ứng khác”, Donev cho biết.
Điều quan trọng cần lưu ý là việc khai thác lỗ hổng yêu cầu router có thể truy cập từ Internet; hầu hết các router cũ đều có tùy chọn này kích hoạt mặc định.
Việc tấn công hạn chế đối với truy cập từ bên ngoài, tuy nhiên tin tặc có thể vượt qua hạn chế này bằng phương pháp CSRF (cross-site forgery request - kỹ thuật tấn công mượn quyền trái phép), nếu người dùng truy cập một website đã bị xâm nhập trước đó.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: