Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

www.tuoitre.vn -   25/03/2020 12:00:00 1042

Cuộc tấn công bị phát hiện một bởi một công ty bảo mật Trung Quốc tên là Qihoo 360‘s Netlab. Họ còn cho biết có nhiều nhóm tấn công khác nhau đã lợi dụng các lỗ hổng 0-day  trong các thiết bị DVR của LILIN để phát tán các botnet như Chalubo, FBot và Moobot kể từ ngày 30/8/2019 hoặc có thể sớm hơn.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Nhiều lỗ hổng 0-day trong máy ghi video kỹ thuật số (digital video recorders – DVR) của các hệ thống giám sát an ninh do công ty LILIN sản xuất đã bị những kẻ tấn công botnet khai thác để lây nhiễm và kết nối với các thiết bị khác để tạo thành một nhóm các bot tấn công từ chối dịch vụ DDOS.

Các nhà nghiên cứu của Netlab cho biết họ đã liên hệ với LILIN vào ngày 19/1 năm nay. Tuy nhiên, hơn 1 tháng sau, LILIN mới phát hành bản cập nhật firmware (2.0b60_20200207) để giải quyết các lỗ hổng.

Sự lây lan phát triển khi các thiết bị IoT đang ngày càng bị kẻ xấu sử dụng nhiều như một bề mặt tấn công để khởi động các cuộc tấn công DDoS, các thiết bị IOT cũng được sử dụng như các proxy để tham gia vào nhiều hình thức vi phạm an ninh mạng khác nhau.

LILIN Zero-Days là gì?

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Lỗ hổng này liên quan đến một chuỗi các lỗi sử dụng thông tin đăng nhập được mã hóa cứng (root/icatch99 và report/8Jg0SR8K50). Nó có thể cấp cho kẻ tấn công khả năng sửa đổi tệp cấu hình của DVR và chèn lệnh backdoor khi cấu hình máy chủ FTP hoặc NTP được đồng bộ hóa.

Trong một kịch bản độc lập, các nhà nghiên cứu nhận thấy rằng quá trình có nhiệm vụ đồng bộ hóa thời gian NTP (NTPUpdate) không kiểm tra các ký tự đặc biệt trong máy chủ được chuyển làm đầu vào. Vì thế, kẻ tấn công có thể chèn và chạy các lệnh hệ thống.

Bản vá mới sẽ xử lý các lỗi bằng cách xác thực tên máy chủ để ngăn chặn việc chạy lệnh.

Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Tạo mật khẩu mạnh

Netlab cho biết những kẻ khai thác đứng sau mạng lưới botnet Chalubo là những kẻ đầu tiên khai thác lỗ hổng NTPUpdate để chiếm quyền điều khiển LILIN DVR vào tháng 8 năm ngoái. Sau đó, botnet FBot đã được phát hiện đang lợi dụng lỗ hổng FTP/NTP vào đầu tháng 1 này. Hai tuần sau, Moobot bắt đầu lan truyền thông qua lỗ hổng FTP 0-day của LILIN.

Các nhà nghiên cứu cho biết họ đã liên hệ với LILIN hai lần. Lần đầu tiên là sau khi các cuộc tấn công FBot được phát hiện. Lần thứ hai là sau khi Moobot xảy ra.

Netlab không đi sâu vào chi tiết cụ thể về động cơ gây tấn công, nhưng có thể chúng sẽ bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công DDoS trên các trang web và dịch vụ DNS.

Các nhà nghiên cứu của Netlab cho biết “Người dùng LILIN nên kiểm tra và cập nhật phần mềm thiết bị càng sớm càng tốt và cài đặt một mật khẩu khó đoán để đảm bảo an toàn”.

Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 148
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 68
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 218
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 213
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 140
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ