-
09/04/2020
-
93
-
633 bài viết
Router TP-Link cũ có nguy cơ bị chiếm quyền điều khiển
Một botnet mới dựa trên mã độc Mirai đang khai thác một lỗ hổng thực thi mã từ xa chưa có mã định danh và chưa được vá trong đầu ghi NVR DigiEver DS-2105 Pro.
Chiến dịch tấn công này khởi động từ tháng 10, nhắm mục tiêu vào nhiều thiết bị đầu ghi hình mạng và bộ định tuyến TP-Link chạy phần mềm lỗi thời.
Theo các nhà nghiên cứu, botnet bắt đầu khai thác lỗ hổng DigiEver vào giữa tháng 11. Tuy nhiên, bằng chứng cho thấy chiến dịch đã hoạt động âm thầm ít nhất từ tháng 9.
Bên cạnh lỗ hổng trên thiết bị DigiEver, biến thể mới của mã độc Mirai còn tấn công hai lỗ hổng khác: CVE-2023-1389 trên thiết bị TP-Link và CVE-2018-17532 trên bộ định tuyến Teltonika RUT9XX.
Điều này cho phép kẻ tấn công từ xa chưa được xác thực chèn các lệnh như curl và chmod thông qua các tham số cụ thể, chẳng hạn như trường ntp trong yêu cầu HTTP POST.
Thông qua việc tiêm lệnh, kẻ tấn công tải xuống mã nhị phân phần mềm độc hại từ máy chủ bên ngoài, sau đó biến thiết bị thành một phần của mạng botnet. Để đảm bảo tính bền bỉ, các công việc cron được thêm vào thiết bị bị xâm phạm.
Khi thiết bị đã bị kiểm soát, nó có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc lây lan sang các thiết bị khác bằng cách tận dụng các tập hợp khai thác và danh sách thông tin xác thực bị đánh cắp.
Các nhà nghiên cứu nhấn mạnh hầu hết botnet dựa trên Mirai vẫn sử dụng logic che giấu chuỗi cơ bản được tái chế từ mã nguồn gốc của phần mềm độc hại này.
Ngoài lỗ hổng trên NVR DigiEver, botnet này còn khai thác:
Chiến dịch tấn công này khởi động từ tháng 10, nhắm mục tiêu vào nhiều thiết bị đầu ghi hình mạng và bộ định tuyến TP-Link chạy phần mềm lỗi thời.
Theo các nhà nghiên cứu, botnet bắt đầu khai thác lỗ hổng DigiEver vào giữa tháng 11. Tuy nhiên, bằng chứng cho thấy chiến dịch đã hoạt động âm thầm ít nhất từ tháng 9.
Bên cạnh lỗ hổng trên thiết bị DigiEver, biến thể mới của mã độc Mirai còn tấn công hai lỗ hổng khác: CVE-2023-1389 trên thiết bị TP-Link và CVE-2018-17532 trên bộ định tuyến Teltonika RUT9XX.
Các cuộc tấn công vào NVR DigiEver
Lỗ hổng bị khai thác trên thiết bị NVR DigiEver là một lỗ hổng thực thi mã từ xa (RCE), nơi tin tặc tập trung tấn công URI /cgi-bin/cgi_main.cgi. Lỗ hổng này xuất phát từ việc xác thực dữ liệu đầu vào của người dùng không đúng cách.Điều này cho phép kẻ tấn công từ xa chưa được xác thực chèn các lệnh như curl và chmod thông qua các tham số cụ thể, chẳng hạn như trường ntp trong yêu cầu HTTP POST.
Thông qua việc tiêm lệnh, kẻ tấn công tải xuống mã nhị phân phần mềm độc hại từ máy chủ bên ngoài, sau đó biến thiết bị thành một phần của mạng botnet. Để đảm bảo tính bền bỉ, các công việc cron được thêm vào thiết bị bị xâm phạm.
Khi thiết bị đã bị kiểm soát, nó có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc lây lan sang các thiết bị khác bằng cách tận dụng các tập hợp khai thác và danh sách thông tin xác thực bị đánh cắp.
Các kỹ thuật tấn công tinh vi
Biến thể mới của mã độc Mirai được chú ý nhờ sử dụng các phương pháp mã hóa như XOR và ChaCha20, đồng thời nhắm mục tiêu vào nhiều kiến trúc hệ thống khác nhau, bao gồm x86, ARM, và MIPS.Các nhà nghiên cứu nhấn mạnh hầu hết botnet dựa trên Mirai vẫn sử dụng logic che giấu chuỗi cơ bản được tái chế từ mã nguồn gốc của phần mềm độc hại này.
Ngoài lỗ hổng trên NVR DigiEver, botnet này còn khai thác:
- CVE-2018-17532 trong bộ định tuyến Teltonika RUT9XX.
- CVE-2023-1389 trên các thiết bị TP-Link.
Theo Bleeping Computer