-
09/04/2020
-
85
-
553 bài viết
Lỗ hổng trong TP-Link “rơi vào tầm ngắm” của botnet Manga
Một biến thể mới được phát hiện của mạng botnet Manga dựa trên Mirai đang nhắm mục tiêu vào một lỗ hổng trong bộ định tuyến TP-Link đã được vá vào tháng trước.
Với mã định danh là CVE-2021-41653, lỗ hổng ảnh hưởng đến các thiết bị bộ định tuyến không dây tại nhà từ TL-WR840N EU v5 đang chạy firmware đến phiên bản TL-WR840N (EU) _V5_171211. TP-Link đã phát hành bản cập nhật vá lỗ hổng vào ngày 12 tháng 11, cùng ngày lỗ hổng được công bố.
Đây lỗ hổng thực thi mã từ xa sau xác thực. Khai thác lỗ hổng thành công cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý thông qua các payload tự tạo trong trường nhập địa chỉ IP.
Botnet Manga biến thể của Mirai khai thác lỗ hổng để tìm nạp và thực thi một script độc hại, lần lượt tải xuống các payload nhị phân chính.
Vào tháng 6 năm 2021, phần mềm độc hại này đã nhắm mục tiêu vào các lỗ hổng mã từ xa trong các thiết bị của OptiLink, Cisco, Tenda và các thiết bị khác.
Những kẻ vận hành mạng botnet đã cập nhật phần mềm độc hại này là một cách khai thác bổ sung cho CVE-2021-41653, nhằm cố gắng lây nhiễm các thiết bị tồn tại lỗ hổng trước khi người dùng cập nhật bản vá. Các cuộc tấn công đã diễn ra kể từ ngày 22 tháng 11.
“Bằng cách khai thác các lỗ hổng được công bố gần đây, chiến dịch lây nhiễm bằng phần mềm độc hại này tận dụng độ trễ giữa thời điểm tiết lộ lỗ hổng và việc áp dụng bản vá để xâm phạm các thiết bị IoT. Điều này tạo điều kiện cho mã độc phát tán nhanh hơn và khiến nó dễ dàng lây lan rộng hơn so với các mạng botnet tương tự.
Vì việc khai thác lỗ hổng này yêu cầu xác thực, các cuộc tấn công có thể được ngăn chặn bằng cách thay thế thông tin đăng nhập mặc định bằng mật khẩu mạnh hơn và khó đoán hơn.
Một khi được thực thi trên thiết bị tồn tại lỗ hổng, phần mềm độc hại Manga có thể ngăn chặn các mối đe dọa khác lây nhiễm vào thiết bị, bằng cách chặn các kết nối đến các cổng thường bị khai thác.
Dựa trên các lệnh nhận được từ máy chủ C&C, mạng botnet có thể phát động các kiểu tấn công từ chối dịch vụ phân tán (DDoS) khác nhau.
Để luôn được bảo vệ, người dùng nên cập nhật bộ định tuyến TL-WR840N EU v5 càng sớm càng tốt.
Với mã định danh là CVE-2021-41653, lỗ hổng ảnh hưởng đến các thiết bị bộ định tuyến không dây tại nhà từ TL-WR840N EU v5 đang chạy firmware đến phiên bản TL-WR840N (EU) _V5_171211. TP-Link đã phát hành bản cập nhật vá lỗ hổng vào ngày 12 tháng 11, cùng ngày lỗ hổng được công bố.
Đây lỗ hổng thực thi mã từ xa sau xác thực. Khai thác lỗ hổng thành công cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý thông qua các payload tự tạo trong trường nhập địa chỉ IP.
Botnet Manga biến thể của Mirai khai thác lỗ hổng để tìm nạp và thực thi một script độc hại, lần lượt tải xuống các payload nhị phân chính.
Vào tháng 6 năm 2021, phần mềm độc hại này đã nhắm mục tiêu vào các lỗ hổng mã từ xa trong các thiết bị của OptiLink, Cisco, Tenda và các thiết bị khác.
Những kẻ vận hành mạng botnet đã cập nhật phần mềm độc hại này là một cách khai thác bổ sung cho CVE-2021-41653, nhằm cố gắng lây nhiễm các thiết bị tồn tại lỗ hổng trước khi người dùng cập nhật bản vá. Các cuộc tấn công đã diễn ra kể từ ngày 22 tháng 11.
“Bằng cách khai thác các lỗ hổng được công bố gần đây, chiến dịch lây nhiễm bằng phần mềm độc hại này tận dụng độ trễ giữa thời điểm tiết lộ lỗ hổng và việc áp dụng bản vá để xâm phạm các thiết bị IoT. Điều này tạo điều kiện cho mã độc phát tán nhanh hơn và khiến nó dễ dàng lây lan rộng hơn so với các mạng botnet tương tự.
Vì việc khai thác lỗ hổng này yêu cầu xác thực, các cuộc tấn công có thể được ngăn chặn bằng cách thay thế thông tin đăng nhập mặc định bằng mật khẩu mạnh hơn và khó đoán hơn.
Một khi được thực thi trên thiết bị tồn tại lỗ hổng, phần mềm độc hại Manga có thể ngăn chặn các mối đe dọa khác lây nhiễm vào thiết bị, bằng cách chặn các kết nối đến các cổng thường bị khai thác.
Dựa trên các lệnh nhận được từ máy chủ C&C, mạng botnet có thể phát động các kiểu tấn công từ chối dịch vụ phân tán (DDoS) khác nhau.
Để luôn được bảo vệ, người dùng nên cập nhật bộ định tuyến TL-WR840N EU v5 càng sớm càng tốt.
Nguồn: securityweek
Chỉnh sửa lần cuối: