Theo các nhà nghiên cứu an ninh mạng và NetLab của Qihoo 360, các nhóm hacker đang thực hiện hai chiến dịch tấn công mạng zero-day nhắm tới các doanh nghiệp lớn thông qua lỗ hổng của thiết bị Draytek.
Theo báo cáo, ít nhất hai nhóm tin tặc riêng biệt đã khai thác hai lỗ hổng tiêm lệnh từ xa (remote command injection) nghiêm trọng (CVE-2020-8515) ảnh hưởng đến các bộ chuyển mạch doanh nghiệp DrayTek Vigor, bộ cân bằng tải, bộ định tuyến và VPN gateway để nghe lén lưu lượng mạng và cài đặt backdoors.
Các cuộc tấn công zero-day bắt đầu ở đâu đó vào cuối tháng 11 năm ngoái hoặc đầu tháng 12 và vẫn có khả năng tiếp tục chống lại hàng ngàn thiết bị chuyển mạch DrayTek tiếp xúc công khai, các thiết bị Vigor 2960, 3900, 300B chưa được vá bằng firmware mới nhất phát hành tháng trước.
Các lỗ hổng zero-day này có thể được khai thác bởi bất kỳ kẻ tấn công từ xa trái phép nào để tiêm và thực thi các lệnh tùy ý trên hệ thống, nội dung chi tiết được một nhà nghiên cứu riêng biệt đăng trên blog của mình.
“Hai điểm tiêm lệnh zero-day là keyPath và rtick, nằm trong /www/cgi-bin/mainfeft.cgi và chương trình Máy chủ Web tương ứng là /usr/sbin/lighttpd”, báo cáo viết.
Các nhà nghiên cứu của NetLab chưa quy kết cả hai cuộc tấn công cho bất kỳ nhóm cụ thể nào, nhưng họ đã xác nhận rằng trong khi nhóm đầu tiên chỉ đơn giản là theo dõi lưu lượng truy cập mạng, nhóm tấn công thứ hai đã sử dụng lỗ hổng tiêm lệnh rtick để tạo:
backdoor phiên bản web không bao giờ hết liệu lực
SSH backdoor trên các cổng TCP 22335 và 32459
tài khoản backdoor hệ thống với user “wuwuhanhan” và password “caonimuqin”.
Cần lưu ý, nếu bạn vừa mới cài đặt firmware đã vá hoặc cài đặt ngay bây giờ, nó sẽ không tự động xóa tài khoản backdoor trong trường hợp bạn đã bị xâm phạm.
“Chúng tôi khuyên người dùng DrayTek Vigor kiểm tra và cập nhật firmware của họ kịp thời và kiểm tra xem có quá trình tcpdump, tài khoản SSH backdoor, Web Session backdoor, v.v. trên hệ thống của họ không.”
“Nếu bạn có quyền truy cập từ xa được bật trên bộ định tuyến của mình, hãy tắt nó nếu bạn không cần nó và sử dụng danh sách kiểm soát truy cập nếu có thể”, công ty gợi ý.
Danh sách các phiên bản firmware bị ảnh hưởng như sau:
Vigor2960 < v1.5.1
Vigor300B < v1.5.1
Vigor3900 < v1.5.1
VigorSwitch20P2121 <= v2.3.2
VigorSwitch20G1280 <= v2.3.2
VigorSwitch20P1280 <= v2.3.2
VigorSwitch20G2280 <= v2.3.2
VigorSwitch20P2280 <= v2.3.2
Các công ty và cá nhân bị ảnh hưởng nên cài đặt các bản cập nhật firmware mới nhất để bảo vệ các mạng của họ trước các phần mềm độc hại và các mối đe dọa trực tuyến.
“Hai điểm tiêm lệnh zero-day là keyPath và rtick, nằm trong /www/cgi-bin/mainfeft.cgi và chương trình Máy chủ Web tương ứng là /usr/sbin/lighttpd”, báo cáo viết.
Các nhà nghiên cứu của NetLab chưa quy kết cả hai cuộc tấn công cho bất kỳ nhóm cụ thể nào, nhưng họ đã xác nhận rằng trong khi nhóm đầu tiên chỉ đơn giản là theo dõi lưu lượng truy cập mạng, nhóm tấn công thứ hai đã sử dụng lỗ hổng tiêm lệnh rtick để tạo:
