-
09/04/2020
-
85
-
553 bài viết
Phát hiện lỗ hổng 12 năm tuổi trên các router
Cập nhật 10/8: Danh sách các thiết bị và nhà cung cấp bị ảnh hưởng bởi lỗ hổng CVE-2021-20090 trên router
Lỗ hổng có mức nghiêm trọng cao, điểm CVSS 9,9/10, trong giao diện web của bộ định tuyến có thể cho phép những kẻ tấn công từ xa qua xác thực.
Đối với thiết bị mà http: // <ip> /index.htm yêu cầu xác thực, kẻ tấn công có thể truy cập index.htm bằng các đường dẫn sau:
Hàng triệu bộ định tuyến có khả năng bị tấn công
Từ nhiều nhà cung cấp và ISP như Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra và Telus, lỗ hổng bảo mật được phát hiện bởi Tenable và hãng đã đưa khuyến cáo bảo mật vào ngày 26 tháng 4. Đồng thời bổ sung bằng chứng về mã khai thác vào ngày 3 tháng 8.
Hai ngày sau khi có PoC, các cuộc tấn công khai thác bắt đầu diễn ra
Juniper Threat Labs phát hiện một số nỗ lực khai thác từ một địa chỉ IP ở Vũ Hán, tỉnh Hồ Bắc, Trung Quốc. Kẻ tấn công sử dụng các công cụ độc hại để triển khai một biến thể botnet Mirai.
Danh sách các lỗ hổng đang bị khai thác để có quyền truy cập ban đầu vào các thiết bị mục tiêu:
-----------------------------
Các nhà nghiên cứu tại Tenable đã phát hiện ra lỗ hổng 12 năm tuổi có khả năng khiến hàng triệu router (bộ định tuyến) bị tấn công.
Lỗ hổng tồn tại trong ít nhất 20 router và modem do 17 nhà cung cấp khác nhau sản xuất, được sử dụng ở ít nhất 11 quốc gia: Argentina, Úc, Canada, Đức, Nhật Bản, Mexico, Hà Lan, New Zealand, Nga, Tây Ban Nha và Mỹ.
“Đây không phải là các lỗ hổng quá phức tạp, vì thế thật đáng ngạc nhiên khi các nhà sản xuất lại không phát hiện ra sự tồn tại của chúng trên các sản phẩm của mình”, chuyên gia Evan Grant của Tenable cho biết.
Cũng theo Grant, tin tặc có thể tận dụng lỗ hổng qua mặt xác thực (CVE-2021-20090) để giành quyền kiểm soát và thay đổi cấu hình trên router nạn nhân; hoặc tấn công thông qua lỗ hổng CVE-2021-20091 để chiếm quyền truy cập root đến router mục tiêu.
Với xu hướng càng nhiều người "work from home", điều này không chỉ tác động đến người dùng, mà còn có khả năng khiến các tổ chức gặp rủi ro tiềm ẩn lâu dài do đã vô tình tiếp xúc với lỗ hổng chưa được phát hiện trong suốt hơn một thập kỷ.
Tenable đã báo cáo vấn đề cho các nhà sản xuất, bao gồm Buffalo, Arcadyan, Verizon, Vodafone, O2 và HughesNet.
Lỗ hổng có mức nghiêm trọng cao, điểm CVSS 9,9/10, trong giao diện web của bộ định tuyến có thể cho phép những kẻ tấn công từ xa qua xác thực.
Đối với thiết bị mà http: // <ip> /index.htm yêu cầu xác thực, kẻ tấn công có thể truy cập index.htm bằng các đường dẫn sau:
- http: // <ip> /images/..%2findex.htm
- http: // <ip> /js/..%2findex.htm
- http: // <ip> /css/..%2findex.htm
Hàng triệu bộ định tuyến có khả năng bị tấn công
Từ nhiều nhà cung cấp và ISP như Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra và Telus, lỗ hổng bảo mật được phát hiện bởi Tenable và hãng đã đưa khuyến cáo bảo mật vào ngày 26 tháng 4. Đồng thời bổ sung bằng chứng về mã khai thác vào ngày 3 tháng 8.
Hai ngày sau khi có PoC, các cuộc tấn công khai thác bắt đầu diễn ra
Juniper Threat Labs phát hiện một số nỗ lực khai thác từ một địa chỉ IP ở Vũ Hán, tỉnh Hồ Bắc, Trung Quốc. Kẻ tấn công sử dụng các công cụ độc hại để triển khai một biến thể botnet Mirai.
Danh sách các lỗ hổng đang bị khai thác để có quyền truy cập ban đầu vào các thiết bị mục tiêu:
- CVE-2020-29557 (Bộ định tuyến DLink)
- CVE-2021-1497 và CVE-2021-1498 (Cisco HyperFlex)
- CVE-2021-31755 (Tenda AC11)
- CVE-2021-22502 (MicroFocus OBR)
- CVE-2021-22506 (MicroFocus AM)
Theo bleepingcomputer
-----------------------------
Các nhà nghiên cứu tại Tenable đã phát hiện ra lỗ hổng 12 năm tuổi có khả năng khiến hàng triệu router (bộ định tuyến) bị tấn công.
Lỗ hổng tồn tại trong ít nhất 20 router và modem do 17 nhà cung cấp khác nhau sản xuất, được sử dụng ở ít nhất 11 quốc gia: Argentina, Úc, Canada, Đức, Nhật Bản, Mexico, Hà Lan, New Zealand, Nga, Tây Ban Nha và Mỹ.
“Đây không phải là các lỗ hổng quá phức tạp, vì thế thật đáng ngạc nhiên khi các nhà sản xuất lại không phát hiện ra sự tồn tại của chúng trên các sản phẩm của mình”, chuyên gia Evan Grant của Tenable cho biết.
Cũng theo Grant, tin tặc có thể tận dụng lỗ hổng qua mặt xác thực (CVE-2021-20090) để giành quyền kiểm soát và thay đổi cấu hình trên router nạn nhân; hoặc tấn công thông qua lỗ hổng CVE-2021-20091 để chiếm quyền truy cập root đến router mục tiêu.
Với xu hướng càng nhiều người "work from home", điều này không chỉ tác động đến người dùng, mà còn có khả năng khiến các tổ chức gặp rủi ro tiềm ẩn lâu dài do đã vô tình tiếp xúc với lỗ hổng chưa được phát hiện trong suốt hơn một thập kỷ.
Tenable đã báo cáo vấn đề cho các nhà sản xuất, bao gồm Buffalo, Arcadyan, Verizon, Vodafone, O2 và HughesNet.
Theo Cybersecuritydive
Chỉnh sửa lần cuối: