Thiết bị lưu trữ mạng Zyzel là đích nhắm của Mukashi – biến thể mới của Mirai IoT Botnet
Một phiên bản mới của Mirai botnet – mạng lưới các thiết bị nhiễm phần mềm độc hại chạy trên Linux – đang khai thác một lỗ hổng nghiêm trọng trong các ổ cứng mạng (NAS). Vẫn chưa phát hiện ra lỗi này là gì nhưng việc khai thác nó có thể giúp kẻ xấu lây nhiễm và kiểm soát các máy từ xa.
Biến thể mới này được gọi là “Mukashi”. Nó là phiên bản mới của phần mềm độc hại sử dụng các cuộc tấn brute-force (tấn công thử mật khẩu). Nó kết hợp những thông tin mặc định khác nhau để đăng nhập vào các tường lửa như Zyxel NAS, UTM, ATP và VPN, từ đó kiểm soát các thiết bị và thêm chúng vào mạng botnet và lợi dụng chúng thực hiện các cuộc tấn công từ chối dịch vụ phân tán DDoS.
Những sản phẩm NAS Zyxel chạy các firmware đến phiên bản 5.21 là những đối tượng dễ bị lây nhiễm. Nhóm tình báo đe dọa toàn cầu số 42 của công ty an ninh mạng Palo Alto Networks cho biết, họ đã phát hiện ra lần khai thác lỗi đầu tiên vào ngày 12/3.
Lỗ hổng của Zyxel
Mukashi được phát triển từ một lỗ hổng chèn lệnh xác thực trước (Pre-Authentication Command Injection) gọi là CVE-2020-9054. Đây là một PoC mới được công bố vào tháng trước. Lỗ hổng nằm trong chương trình “weblogin.cgi” được sử dụng bởi các thiết bị Zyxel, vì thế nó có khả năng cho phép kẻ tấn công chạy mã từ xa thông qua các lệnh chèn.
Theo các nhà nghiên cứu của Palo Alto Networks “Lệnh weblogin.cgi thực thi không dùng đúng tham số tên người dùng trong khi xác thực. Kẻ tấn công có thể sử dụng một dấu phẩy trên (‘) để đóng chuỗi và dấu chấm phẩy (;) để nối các lệnh tùy ý để có được lệnh chèn theo ý chúng. Vì weblogin.cgi chấp nhận cả hai HTTP request GET và POST, kẻ tấn công có thể nhúng payload độc hại vào một trong những HTTP request này và nhận mã thực thi.”
Vào tháng trước, sau khi các hướng dẫn khai thác lỗ hổng được bán trong các diễn đàn tội phạm mạng ngầm với giá 20.000 đô la (hơn 460 triệu VNĐ), Zyxel đã đưa ra một bản vá cho nó. Tuy nhiên, bản cập nhật không giải quyết được lỗ hổng trên những thiết bị cũ không được hỗ trợ.
Như một giải pháp thay thế, Zyxel đã kêu gọi những người sử dụng các thiết bị đã bị tấn công không để thiết bị của họ kết nối với Internet. Mọi người nên kết nối thiết bị với bộ định tuyến bảo mật hoặc tường lửa để tăng khả năng bảo vệ.
Mukashi nhắm vào các thiết bị NAS Zyxel
Cũng giống như các biến thể Mirai khác, Mukashi hoạt động bằng cách quét Internet cho các thiết bị IoT dễ bị lây nhiễm như bộ định tuyến, NAS, máy quay an ninh và máy quay video kỹ thuật số (digital video recorders – DVR). Những mục tiêu tiềm năng là những máy chủ chỉ được sử dụng thông tin đăng nhập mặc định của cài đặt gốc hoặc sử dụng mật khẩu dễ đoán. Sau khi tấn công vào hệ thống sẽ thêm chúng vào botnet.
Nếu đăng nhập bằng brute-force thành công, Mukashi sẽ báo cáo đăng nhập đến máy chủ chỉ huy và kiểm soát (command-and-control – C2) do kẻ tấn công điều khiển và chờ lệnh để khởi động các cuộc tấn công DDoS.
Các nhà nghiên cứu cho biết “Khi được chạy, Mukashi sẽ gửi thông báo ‘Protecting your device from further infections’ (bảo vệ thiết bị của bạn khỏi những lần tấn công sau) cho bàn điều khiển. Sau đó malware tiến hành thay đổi tên tiến trình của nó thành drcrcper, việc làm này khá giống phiên bản trước đó của Mukashi.”
Lịch sử các cuộc tấn công DDoS của Mirai
Kể từ khi được phát hiện vào năm 2016, Mirai botnet đã được liên kết với một chuỗi các cuộc tấn công DDoS quy mô lớn. Trong đó có một cuộc tấn công vào nhà cung cấp dịch vụ DNS tên Dyn vào tháng 10/2016, khiến người dùng các nền tảng và dịch vụ internet lớn ở châu Âu và Bắc Mỹ không thể truy cập được.
Kể từ đó, nhiều biến thể của Mirai đã xuất hiện, một phần là do sự sẵn có của những mã nguồn Mirai mở trên Internet kể từ năm 2016.
Người tiêu dùng Zyxel được khuyến khích cập nhật chương trình cơ sở để bảo vệ các thiết bị khỏi Mukashi. Họ cũng có thể cập nhật thông tin đăng nhập, sử dụng những mật khẩu phức tạp để tránh bị tấn công brute-force.
Danh sách đầy đủ các sản phẩm Zyxel bị ảnh hưởng có sẵn tại đây. Bạn cũng có thể kiểm tra xem thiết bị NAS Zyxel có bị tấn công hay không tại đây.
Theo The HackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...