Hacker tấn công mạng lưới doanh nghiệp thông qua lỗ hổng Zero-day của DrayTek

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Mới đây 27/3 các nhà nghiên cứu an ninh mạng và Qihoo 360’s NetLab đã tiết lộ thông tin chi tiết về hai chiến dịch tấn công lợi dụng lỗ hổng 0-day. Mục tiêu chính là các thiết bị mạng được sử dụng phổ biến ở các tập đoàn do công ty Đài Loan DrayTek sản xuất.

Theo báo cáo, ít nhất hai nhóm tin tặc đã khai thác hai lỗ hổng chèn lệnh nghiêm trọng từ xa (CVE-2020-8515) ảnh hưởng đến các thiết bị Draytek Vigor switch, load balancer, router, VPN gateway để nghe lén lưu lượng mạng và cài đặt backdoor lên các thiết bị này.

Các cuộc tấn công bắt đầu khoảng cuối tháng 11, đầu tháng 12 năm ngoái và vẫn có khả năng tiếp tục đe dọa hàng ngàn thiết bị switch công khai DrayTek, Vigor 2960, 3900, 300B chưa được vá bằng bản cập nhật firmware phát hành tháng trước.

Theo một nhà nghiên cứu độc lập, các lỗ hổng zero-day có thể được khai thác bởi bất kỳ kẻ tấn công từ xa trái phép nào. Chúng có thể chèn và thực thi các lệnh tùy ý trên hệ thống.

Theo báo cáo “Hai điểm chèn lệnh dễ bị mắc lỗi 0-day là keyPath và rtick. Chúng nằm trong /www/cgi-bin/mainfeft.cgi và chương trình Web Server tương ứng là /usr/sbin/lighttpd”.

Các nhà nghiên cứu của NetLab chưa quy trách nhiệm về hai cuộc tấn công cho bất kỳ nhóm cụ thể nào. Tuy nhiên, họ đã xác nhận rằng nhóm đầu tiên chỉ đơn giản là theo dõi lưu lượng truy cập mạng còn nhóm tấn công thứ hai đã sử dụng lỗ hổng bị chèn lệnh rtick để tạo:

  • Backdoor không bao giờ hết hạn cho web-session
  • Backdoor SSH trên các cổng TCP 22335 và 32459,
  • Tài khoản backdoor hệ thống với tên người dùng là “wuwuhanhan” và mật khẩu “caonimuqin”

Cần lưu ý rằng nếu bạn vừa mới cài đặt firmware đã vá hoặc cài đặt mới, nó sẽ không tự động xóa tài khoản backdoor trong trường hợp bạn đã bị xâm phạm.

“Chúng tôi khuyên người dùng DrayTek Vigor kiểm tra và cập nhật chương trình cơ sở của họ kịp thời và kiểm tra xem có quá trình tcpdump, tài khoản backlink SSH, backlink Web, v.v. trên hệ thống của họ không.”

DrayTek Vigor cũng bày tỏ “Nếu bạn có quyền truy cập từ xa được bật trên bộ định tuyến của mình, hãy tắt nó nếu bạn không cần nó và sử dụng danh sách kiểm soát truy cập nếu có thể”.

Danh sách các phiên bản phần mềm bị ảnh hưởng như sau:

  • Vigor2960 <v1.5.1
  • Vigor300B <v1.5.1
  • Vigor3900 <v1.5.1
  • VigorSwitch20P2121 <= v2.3.2
  • VigorSwitch20G1280 <= v2.3.2
  • VigorSwitch20P1280 <= v2.3.2
  • VigorSwitch20G2280 <= v2.3.2
  • VigorSwitch20P2280 <= v2.3.2

Các công ty và cá nhân bị ảnh hưởng được khuyến khích cài đặt các bản cập nhật firmware mới nhất để bảo vệ hoàn toàn các mạng có giá trị của họ trước các phần mềm độc hại và các mối đe dọa trực tuyến khác.

Quỳnh Thảo

Theo TheHackerNews