Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

www.tuoitre.vn -   25/03/2020 12:00:00 1110

Cuộc tấn công bị phát hiện một bởi một công ty bảo mật Trung Quốc tên là Qihoo 360‘s Netlab. Họ còn cho biết có nhiều nhóm tấn công khác nhau đã lợi dụng các lỗ hổng 0-day  trong các thiết bị DVR của LILIN để phát tán các botnet như Chalubo, FBot và Moobot kể từ ngày 30/8/2019 hoặc có thể sớm hơn.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Nhiều lỗ hổng 0-day trong máy ghi video kỹ thuật số (digital video recorders – DVR) của các hệ thống giám sát an ninh do công ty LILIN sản xuất đã bị những kẻ tấn công botnet khai thác để lây nhiễm và kết nối với các thiết bị khác để tạo thành một nhóm các bot tấn công từ chối dịch vụ DDOS.

Các nhà nghiên cứu của Netlab cho biết họ đã liên hệ với LILIN vào ngày 19/1 năm nay. Tuy nhiên, hơn 1 tháng sau, LILIN mới phát hành bản cập nhật firmware (2.0b60_20200207) để giải quyết các lỗ hổng.

Sự lây lan phát triển khi các thiết bị IoT đang ngày càng bị kẻ xấu sử dụng nhiều như một bề mặt tấn công để khởi động các cuộc tấn công DDoS, các thiết bị IOT cũng được sử dụng như các proxy để tham gia vào nhiều hình thức vi phạm an ninh mạng khác nhau.

LILIN Zero-Days là gì?

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Lỗ hổng này liên quan đến một chuỗi các lỗi sử dụng thông tin đăng nhập được mã hóa cứng (root/icatch99 và report/8Jg0SR8K50). Nó có thể cấp cho kẻ tấn công khả năng sửa đổi tệp cấu hình của DVR và chèn lệnh backdoor khi cấu hình máy chủ FTP hoặc NTP được đồng bộ hóa.

Trong một kịch bản độc lập, các nhà nghiên cứu nhận thấy rằng quá trình có nhiệm vụ đồng bộ hóa thời gian NTP (NTPUpdate) không kiểm tra các ký tự đặc biệt trong máy chủ được chuyển làm đầu vào. Vì thế, kẻ tấn công có thể chèn và chạy các lệnh hệ thống.

Bản vá mới sẽ xử lý các lỗi bằng cách xác thực tên máy chủ để ngăn chặn việc chạy lệnh.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Tạo mật khẩu mạnh

Netlab cho biết những kẻ khai thác đứng sau mạng lưới botnet Chalubo là những kẻ đầu tiên khai thác lỗ hổng NTPUpdate để chiếm quyền điều khiển LILIN DVR vào tháng 8 năm ngoái. Sau đó, botnet FBot đã được phát hiện đang lợi dụng lỗ hổng FTP/NTP vào đầu tháng 1 này. Hai tuần sau, Moobot bắt đầu lan truyền thông qua lỗ hổng FTP 0-day của LILIN.

Các nhà nghiên cứu cho biết họ đã liên hệ với LILIN hai lần. Lần đầu tiên là sau khi các cuộc tấn công FBot được phát hiện. Lần thứ hai là sau khi Moobot xảy ra.

Netlab không đi sâu vào chi tiết cụ thể về động cơ gây tấn công, nhưng có thể chúng sẽ bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công DDoS trên các trang web và dịch vụ DNS.

Các nhà nghiên cứu của Netlab cho biết “Người dùng LILIN nên kiểm tra và cập nhật phần mềm thiết bị càng sớm càng tốt và cài đặt một mật khẩu khó đoán để đảm bảo an toàn”.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 83
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 69
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 71
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 80
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 48
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 33
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ