Ngay cả sau khi nhận thức được các cuộc tấn công mạng khác nhau đang hoạt động đối với các bộ định tuyến Wi-Fi GPON, nếu bạn chưa ngắt kết nối chúng với Internet, thì hãy cẩn thận — vì một botnet mới đã gia nhập nhóm GPON và đang khai thác một số lỗ hổng zero-day chưa được tiết lộ.
Các nhà nghiên cứu bảo mật từ Qihoo 360 Netlab đã cảnh báo có ít nhất một nhà điều hành mạng botnet khai thác lỗ hổng zero-day mới trong bộ định tuyến GPON, được sản xuất bởi DASAN Zhone Solutions của Hàn Quốc.
Botnet, được gọi là TheMoon, lần đầu tiên được phát hiện vào năm 2014 và đã thêm khai thác của ít nhất 6 thiết bị IoT vào phiên bản kế thừa kể từ năm 2017, hiện đang khai thác lỗ hổng zero-day chưa được tiết lộ trong bộ định tuyến Dasan GPON.
Các nhà nghiên cứu Netlab đã kiểm tra thành công payload tấn công mới trên hai phiên bản bộ định tuyến tại gia GPON khác nhau, mặc dù họ không tiết lộ chi tiết về payload hoặc giải phóng thêm bất kỳ chi tiết nào về lỗ hổng zero-day mới để ngăn chặn nhiều cuộc tấn công hơn.
TheMoon botnet đã đạt được sự chú ý trong năm 2015-16 sau khi phát hiện phần mềm độc hại này đã lây lan sang một số lượng lớn các mô hình bộ định tuyến ASUS và Linksys thông qua việc sử dụng lỗ hổng thực thi mã từ xa (RCE).
Các bonet nhắm mục tiêu tới bộ định tuyến GPON
Năm botnet đang khai thác lỗ hổng trong bộ định tuyến GPON
Đầu tháng này, ít nhất năm botnet khác nhau đã được tìm thấy khai thác hai lỗ hổng nghiêm trọng trong bộ định tuyến GPON được tiết lộ tháng trước, cho phép kẻ tấn công từ xa kiểm soát toàn bộ thiết bị.
Như đã trình bày chi tiết trong bài trước, 5 loại botnet, bao gồm Mettle, Muhstik, Mirai, Hajime và Satori, đã được tìm thấy khai thác lỗ hổng bỏ qua xác thực xác thực (CVE-2018-10561) và lỗ hổng RCE (CVE-2018-10562) trong bộ định tuyến GPON.
Ngay sau khi chi tiết của các lỗ hổng được công khai, một khai thác PoC đang hoạt động cho lỗ hổng trong bộ định tuyến GPON đã được cung cấp cho công chúng, khiến việc khai thác trở nên dễ dàng hơn đối với các hacker không có kỹ năng.
Trong nghiên cứu riêng biệt, các nhà nghiên cứu của Trend Micro đã phát hiện hoạt động quét giống Mirai ở Mexico, nhắm vào các bộ định tuyến GPON sử dụng tên người dùng và mật khẩu mặc định.
Các nhà nghiên cứu Trend Micro cho biết “Không giống như các hoạt động trước đó, các mục tiêu cho thủ tục quét mới này được phân phối. Tuy nhiên, dựa trên kết hợp tên người dùng và mật khẩu chúng tôi tìm thấy trong dữ liệu của mình, chúng tôi kết luận rằng thiết bị đích vẫn bao gồm bộ định tuyến gia đình hoặc máy ảnh IP sử dụng mật khẩu mặc định”.
Cách bảo vệ bộ định tuyến Wi-Fi khỏi các cuộc tấn công mạng
Hai lỗ hổng GPON được tiết lộ trước đây đã được báo cáo cho DASAN, nhưng công ty vẫn chưa đưa ra bất kỳ sửa chữa nào, khiến hàng triệu khách hàng của họ trở thành mục tiêu của các nhà khai thác mạng botnet.
Vì vậy, cho đến khi nhà sản xuất bộ định tuyến phát hành một bản vá chính thức, người dùng có thể bảo vệ thiết bị của họ bằng cách vô hiệu hóa quyền quản trị từ xa và sử dụng tường lửa để ngăn chặn truy cập từ Internet công cộng.
Việc thực hiện những thay đổi này cho các bộ định tuyến dễ bị tổn thương của bạn sẽ hạn chế quyền truy cập vào mạng cục bộ trong phạm vi mạng Wi-Fi của bạn, do đó làm giảm hiệu quả bề mặt tấn công bằng cách loại bỏ những kẻ tấn công từ xa.
