Hệ thống giám sát an ninh DVR tìm thấy nhiều botnet DDoS khai thác lỗ hổng Zero-day

Cuộc tấn công bị phát hiện một bởi một công ty bảo mật Trung Quốc tên là Qihoo 360‘s Netlab. Họ còn cho biết có nhiều nhóm tấn công khác nhau đã lợi dụng các lỗ hổng 0-day  trong các thiết bị DVR của LILIN để phát tán các botnet như Chalubo, FBot và Moobot kể từ ngày 30/8/2019 hoặc có thể sớm hơn.

Nhiều lỗ hổng 0-day trong máy ghi video kỹ thuật số (digital video recorders – DVR) của các hệ thống giám sát an ninh do công ty LILIN sản xuất đã bị những kẻ tấn công botnet khai thác để lây nhiễm và kết nối với các thiết bị khác để tạo thành một nhóm các bot tấn công từ chối dịch vụ DDOS.

Các nhà nghiên cứu của Netlab cho biết họ đã liên hệ với LILIN vào ngày 19/1 năm nay. Tuy nhiên, hơn 1 tháng sau, LILIN mới phát hành bản cập nhật firmware (2.0b60_20200207) để giải quyết các lỗ hổng.

Sự lây lan phát triển khi các thiết bị IoT đang ngày càng bị kẻ xấu sử dụng nhiều như một bề mặt tấn công để khởi động các cuộc tấn công DDoS, các thiết bị IOT cũng được sử dụng như các proxy để tham gia vào nhiều hình thức vi phạm an ninh mạng khác nhau.

LILIN Zero-Days là gì?

Lỗ hổng này liên quan đến một chuỗi các lỗi sử dụng thông tin đăng nhập được mã hóa cứng (root/icatch99 và report/8Jg0SR8K50). Nó có thể cấp cho kẻ tấn công khả năng sửa đổi tệp cấu hình của DVR và chèn lệnh backdoor khi cấu hình máy chủ FTP hoặc NTP được đồng bộ hóa.

Trong một kịch bản độc lập, các nhà nghiên cứu nhận thấy rằng quá trình có nhiệm vụ đồng bộ hóa thời gian NTP (NTPUpdate) không kiểm tra các ký tự đặc biệt trong máy chủ được chuyển làm đầu vào. Vì thế, kẻ tấn công có thể chèn và chạy các lệnh hệ thống.

Bản vá mới sẽ xử lý các lỗi bằng cách xác thực tên máy chủ để ngăn chặn việc chạy lệnh.

Tạo mật khẩu mạnh

Netlab cho biết những kẻ khai thác đứng sau mạng lưới botnet Chalubo là những kẻ đầu tiên khai thác lỗ hổng NTPUpdate để chiếm quyền điều khiển LILIN DVR vào tháng 8 năm ngoái. Sau đó, botnet FBot đã được phát hiện đang lợi dụng lỗ hổng FTP/NTP vào đầu tháng 1 này. Hai tuần sau, Moobot bắt đầu lan truyền thông qua lỗ hổng FTP 0-day của LILIN.

Các nhà nghiên cứu cho biết họ đã liên hệ với LILIN hai lần. Lần đầu tiên là sau khi các cuộc tấn công FBot được phát hiện. Lần thứ hai là sau khi Moobot xảy ra.

Netlab không đi sâu vào chi tiết cụ thể về động cơ gây tấn công, nhưng có thể chúng sẽ bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công DDoS trên các trang web và dịch vụ DNS.

Các nhà nghiên cứu của Netlab cho biết “Người dùng LILIN nên kiểm tra và cập nhật phần mềm thiết bị càng sớm càng tốt và cài đặt một mật khẩu khó đoán để đảm bảo an toàn”.

Theo TheHackerNews