Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

www.tuoitre.vn -   25/03/2020 12:00:00 779

Cuộc tấn công bị phát hiện một bởi một công ty bảo mật Trung Quốc tên là Qihoo 360‘s Netlab. Họ còn cho biết có nhiều nhóm tấn công khác nhau đã lợi dụng các lỗ hổng 0-day  trong các thiết bị DVR của LILIN để phát tán các botnet như Chalubo, FBot và Moobot kể từ ngày 30/8/2019 hoặc có thể sớm hơn.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Nhiều lỗ hổng 0-day trong máy ghi video kỹ thuật số (digital video recorders – DVR) của các hệ thống giám sát an ninh do công ty LILIN sản xuất đã bị những kẻ tấn công botnet khai thác để lây nhiễm và kết nối với các thiết bị khác để tạo thành một nhóm các bot tấn công từ chối dịch vụ DDOS.

Các nhà nghiên cứu của Netlab cho biết họ đã liên hệ với LILIN vào ngày 19/1 năm nay. Tuy nhiên, hơn 1 tháng sau, LILIN mới phát hành bản cập nhật firmware (2.0b60_20200207) để giải quyết các lỗ hổng.

Sự lây lan phát triển khi các thiết bị IoT đang ngày càng bị kẻ xấu sử dụng nhiều như một bề mặt tấn công để khởi động các cuộc tấn công DDoS, các thiết bị IOT cũng được sử dụng như các proxy để tham gia vào nhiều hình thức vi phạm an ninh mạng khác nhau.

LILIN Zero-Days là gì?

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Lỗ hổng này liên quan đến một chuỗi các lỗi sử dụng thông tin đăng nhập được mã hóa cứng (root/icatch99 và report/8Jg0SR8K50). Nó có thể cấp cho kẻ tấn công khả năng sửa đổi tệp cấu hình của DVR và chèn lệnh backdoor khi cấu hình máy chủ FTP hoặc NTP được đồng bộ hóa.

Trong một kịch bản độc lập, các nhà nghiên cứu nhận thấy rằng quá trình có nhiệm vụ đồng bộ hóa thời gian NTP (NTPUpdate) không kiểm tra các ký tự đặc biệt trong máy chủ được chuyển làm đầu vào. Vì thế, kẻ tấn công có thể chèn và chạy các lệnh hệ thống.

Bản vá mới sẽ xử lý các lỗi bằng cách xác thực tên máy chủ để ngăn chặn việc chạy lệnh.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Tạo mật khẩu mạnh

Netlab cho biết những kẻ khai thác đứng sau mạng lưới botnet Chalubo là những kẻ đầu tiên khai thác lỗ hổng NTPUpdate để chiếm quyền điều khiển LILIN DVR vào tháng 8 năm ngoái. Sau đó, botnet FBot đã được phát hiện đang lợi dụng lỗ hổng FTP/NTP vào đầu tháng 1 này. Hai tuần sau, Moobot bắt đầu lan truyền thông qua lỗ hổng FTP 0-day của LILIN.

Các nhà nghiên cứu cho biết họ đã liên hệ với LILIN hai lần. Lần đầu tiên là sau khi các cuộc tấn công FBot được phát hiện. Lần thứ hai là sau khi Moobot xảy ra.

Netlab không đi sâu vào chi tiết cụ thể về động cơ gây tấn công, nhưng có thể chúng sẽ bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công DDoS trên các trang web và dịch vụ DNS.

Các nhà nghiên cứu của Netlab cho biết “Người dùng LILIN nên kiểm tra và cập nhật phần mềm thiết bị càng sớm càng tốt và cài đặt một mật khẩu khó đoán để đảm bảo an toàn”.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 49
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 55
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 35
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 37
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 44
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 44
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ