Thiết bị lưu trữ mạng Zyzel là đích nhắm của Mukashi – biến thể mới của Mirai IoT Botnet

www.tuoitre.vn -   23/03/2020 12:00:00 1298

Một phiên bản mới của Mirai botnet – mạng lưới các thiết bị nhiễm phần mềm độc hại chạy trên Linux – đang khai thác một lỗ hổng nghiêm trọng trong các ổ cứng mạng (NAS). Vẫn chưa phát hiện ra lỗi này là gì nhưng việc khai thác nó có thể giúp kẻ xấu lây nhiễm và kiểm soát các máy từ xa.

Thiết bị lưu trữ mạng Zyzel là đích nhắm của Mukashi – biến thể mới của Mirai IoT Botnet

Biến thể mới này được gọi là “Mukashi”. Nó là phiên bản mới của phần mềm độc hại sử dụng các cuộc tấn brute-force (tấn công thử mật khẩu). Nó kết hợp những thông tin mặc định khác nhau để đăng nhập vào các tường lửa như Zyxel NAS, UTM, ATP và VPN, từ đó kiểm soát các thiết bị và thêm chúng vào mạng botnet và lợi dụng chúng thực hiện các cuộc tấn công từ chối dịch vụ phân tán DDoS.

Những sản phẩm NAS Zyxel chạy các firmware đến phiên bản 5.21 là những đối tượng dễ bị lây nhiễm. Nhóm tình báo đe dọa toàn cầu số 42 của công ty an ninh mạng Palo Alto Networks cho biết, họ đã phát hiện ra lần khai thác lỗi đầu tiên vào ngày 12/3.

Lỗ hổng của Zyxel

Thiết bị lưu trữ mạng Zyzel là đích nhắm của Mukashi – biến thể mới của Mirai IoT Botnet

Mukashi được phát triển từ một lỗ hổng chèn lệnh xác thực trước (Pre-Authentication Command Injection) gọi là CVE-2020-9054. Đây là một PoC mới được công bố vào tháng trước. Lỗ hổng nằm trong chương trình “weblogin.cgi” được sử dụng bởi các thiết bị Zyxel, vì thế nó có khả năng cho phép kẻ tấn công chạy mã từ xa thông qua các lệnh chèn.

Theo các nhà nghiên cứu của Palo Alto Networks “Lệnh weblogin.cgi thực thi không dùng đúng tham số tên người dùng trong khi xác thực. Kẻ tấn công có thể sử dụng một dấu phẩy trên (‘) để đóng chuỗi và dấu chấm phẩy (;) để nối các lệnh tùy ý để có được lệnh chèn theo ý chúng. Vì weblogin.cgi chấp nhận cả hai HTTP request GET và POST, kẻ tấn công có thể nhúng payload độc hại vào một trong những HTTP request này và nhận mã thực thi.”

Vào tháng trước, sau khi các hướng dẫn khai thác lỗ hổng được bán trong các diễn đàn tội phạm mạng ngầm với giá 20.000 đô la (hơn 460 triệu VNĐ), Zyxel đã đưa ra một bản vá cho nó. Tuy nhiên, bản cập nhật không giải quyết được lỗ hổng trên những thiết bị cũ không được hỗ trợ.

Như một giải pháp thay thế, Zyxel đã kêu gọi những người sử dụng các thiết bị đã bị tấn công không để thiết bị của họ kết nối với Internet. Mọi người nên kết nối thiết bị với bộ định tuyến bảo mật hoặc tường lửa để tăng khả năng bảo vệ.

Mukashi nhắm vào các thiết bị NAS Zyxel

Cũng giống như các biến thể Mirai khác, Mukashi hoạt động bằng cách quét Internet cho các thiết bị IoT dễ bị lây nhiễm như bộ định tuyến, NAS, máy quay an ninh và máy quay video kỹ thuật số (digital video recorders – DVR). Những mục tiêu tiềm năng là những máy chủ chỉ được sử dụng thông tin đăng nhập mặc định của cài đặt gốc hoặc sử dụng mật khẩu dễ đoán. Sau khi tấn công vào hệ thống sẽ thêm chúng vào botnet.

Nếu đăng nhập bằng brute-force thành công, Mukashi sẽ báo cáo đăng nhập đến máy chủ chỉ huy và kiểm soát (command-and-control – C2) do kẻ tấn công điều khiển và chờ lệnh để khởi động các cuộc tấn công DDoS.

Các nhà nghiên cứu cho biết “Khi được chạy, Mukashi sẽ gửi thông báo ‘Protecting your device from further infections’ (bảo vệ thiết bị của bạn khỏi những lần tấn công sau) cho bàn điều khiển. Sau đó malware tiến hành thay đổi tên tiến trình của nó thành drcrcper, việc làm này khá giống phiên bản trước đó của Mukashi.”

Thiết bị lưu trữ mạng Zyzel là đích nhắm của Mukashi – biến thể mới của Mirai IoT Botnet

Lịch sử các cuộc tấn công DDoS của Mirai

Kể từ khi được phát hiện vào năm 2016, Mirai botnet đã được liên kết với một chuỗi các cuộc tấn công DDoS quy mô lớn. Trong đó có một cuộc tấn công vào nhà cung cấp dịch vụ DNS tên Dyn vào tháng 10/2016, khiến người dùng các nền tảng và dịch vụ internet lớn ở châu Âu và Bắc Mỹ không thể truy cập được.

Kể từ đó, nhiều biến thể của Mirai đã xuất hiện, một phần là do sự sẵn có của những mã nguồn Mirai mở trên Internet kể từ năm 2016.

Người tiêu dùng Zyxel được khuyến khích cập nhật chương trình cơ sở để bảo vệ các thiết bị khỏi Mukashi. Họ cũng có thể cập nhật thông tin đăng nhập, sử dụng những mật khẩu phức tạp để tránh bị tấn công brute-force.

Danh sách đầy đủ các sản phẩm Zyxel bị ảnh hưởng có sẵn tại đây. Bạn cũng có thể kiểm tra xem thiết bị NAS Zyxel có bị tấn công hay không tại đây.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 135
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 117
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 44
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 216
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button