Chỉ trong vòng 10 ngày kể từ ngày công bố hai lỗ hổng trong bộ định tuyến GPON thì có ít nhất 5 botnet đã bị phát hiện khai thác những lỗ hổng nghiêm trọng này để xây dựng một mạng lưới với hàng triệu thiết bị.

Phát hiện 5 bonet đang khai thác lỗ hổng trong bộ định tuyến GPON
Cấu trúc mạng lưới botnet

Các nhà nghiên cứu bảo mật của hãng an ninh mạng Qihoo 360 Netlab tại Trung Quốc đã phát hiện 5 botnet bao gồm Mettle, Muhstik, Mirai, Hajime và Satori đã tiến hành khai thác GPON trong thực tế.

Như đã trình bày chi tiết trong bài trước, nhà sản xuất bộ định tuyến với khả năng Gigabit (GPON) của DASAN Zhone Solutions có trụ sở tại Hàn Quốc đã bị phát hiện có lỗ hổng bỏ qua xác thực (CVE-2018-10561) và lỗ hổng RCE (CVE-2018 -10562) trong root, dẫn đến việc cho phép kẻ tấn công từ xa kiểm soát toàn bộ thiết bị.

Ngay sau khi chi tiết của các lỗ hổng được công khai, các nhà nghiên cứu 360 Netlab đã lên tiếng cảnh báo về việc tin tặc đe dọa khai thác cả hai lỗ hổng để chiếm quyền điều khiển và thêm các bộ định tuyến dễ bị tấn công vào mạng độc hại botnet của họ.

Các nhà nghiên cứu đã công bố một báo cáo mới, nêu chi tiết 5 botnet dưới đây đang tích cực khai thác những lỗ hổng này:

Mettle Botnet – Bảng C&C và máy quét của botnet này được lưu trữ trên một máy chủ nằm tại Việt Nam. Những kẻ tấn công đã sử dụng một mô-đun tấn công Mettle có nguồn mở để cấy phần mềm độc hại vào các bộ định tuyến dễ bị tấn công.

Muhstik Botnet – Botnet này đã được phát hiện vào tuần trước khi nó đang khai thác lỗ hổng Drupal nghiêm trọng và bây giờ phiên bản mới nhất của Muhstik đã được nâng cấp để khai thác lỗ hổng GPON, cùng với các lỗ hổng trong phần mềm JBOSS và DD-WRT.

Mirai Botnet (biến thể mới) – Khai thác GPON cũng đã được tích hợp vào một vài biến thể mới (được điều hành bởi các nhóm hack khác nhau) của Mirai IoT botnet khét tiếng, lần đầu xuất hiện và có nguồn mở vào năm 2016 sau khi nó được sử dụng để khởi động các cuộc tấn công DDoS.

Hajime Botnet – Một IoT botnet khét tiếng khác, Hajime, được tìm thấy thêm khai thác GPON vào mã của nó để nhắm tới hàng trăm nghìn bộ định tuyến gia đình.

Satori Botnet – Botnet nổi tiếng đã lây nhiễm 260.000 thiết bị chỉ trong 12 giờ vào năm ngoái, Satori (còn được gọi là Okiru) cũng bao gồm khai thác GPON trong phiên bản mới nhất của nó.

Các nhà nghiên cứu tại vpnMentor, người phát hiện ra lỗ hổng trong bộ định tuyến GPON, đã báo cáo các vấn đề cho nhà sản xuất bộ định tuyến, nhưng công ty vẫn chưa đưa ra bất kỳ sửa chữa nào cho các vấn đề này.

Khai thác PoC của lỗ hổng trong bộ định tuyến GPON đã được công khai, dẫn đến việc khai thác trở nên dễ dàng hơn đối với các hacker không có kỹ năng.

Vì vậy cho đến khi công ty phát hành một bản vá chính thức, người dùng có thể bảo vệ thiết bị của họ bằng cách vô hiệu hóa quyền quản trị từ xa và sử dụng tường lửa để ngăn chặn truy cập từ Internet công cộng.

Việc thực hiện những thay đổi này cho các bộ định tuyến dễ bị tổn thương của bạn sẽ hạn chế quyền truy cập vào mạng cục bộ trong phạm vi mạng Wi-Fi của bạn, do đó làm giảm hiệu quả bề mặt tấn công bằng cách loại bỏ những kẻ tấn công từ xa.

Nếu bạn không chắc chắn về các cài đặt này, vpnMentor cũng đã cung cấp một công cụ trực tuyến đơn giản tự động sửa đổi cài đặt bộ định tuyến giúp bạn, mặc dù chúng tôi không khuyến khích người dùng chạy bất kỳ tập lệnh hoặc bản vá lỗi của bên thứ ba nào trên thiết bị của họ.

Thay vào đó, người dùng nên đợi bản vá chính thức cho lỗ hổng trong bộ định tuyến GPON hoặc áp dụng các thay đổi theo cách thủ công, khi có thể.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <