CVE-2021-20090 là lỗ hổng được Tenable (Hòa Kỳ) phát hiện và công khai vào ngày 3/8/2021. Lỗ hổng này ảnh hưởng đến hàng triệu bộ định tuyến gia đình của trên 17 nhà cung cấp, bao gồm một số ISP. Điểm chung của các thiết bị trên là sử dụng firmware từ hãng Arcadyan.
CVE-2021-20090 sử dụng kỹ thuật tấn công Path Traversal giúp vượt qua xác thực vào trang quản trị của thiết bị. Sau khi khai thác lỗ hổng, hacker có thể chiếm quyền kiểm soát thiết bị bị ảnh hưởng. Ví dụ, Tenable đã chỉ ra cách sửa đổi cấu hình để kích hoạt dịch vụ telnet trên một bộ định tuyến chứa lỗ hổng và có được quyền truy cập shell với quyền root trên thiết bị.
Từ ngày 5/8/2021, Juniper Threat Labs đã xác định một số cuộc tấn công đến từ một địa chỉ IP đặt tại Vũ Hán, tỉnh Hồ Bắc, Trung Quốc đang khai thác lỗ hổng này. Nhóm hacker đang sử dụng một mã khai thác giúp cài đặt một biến thể Mirai trên các bộ định tuyến bị ảnh hưởng, bằng cách sử dụng các tập lệnh có tên tương tự như các tập lệnh được Palo Alto Networks đề cập vào tháng 3/2021.
Nhóm nghiên cứu của Juniper đã chứng kiến hoạt động tương tự bắt đầu từ ngày 18/2/2021 và cho rằng đều là cùng một nhóm hacker đứng đằng sau cuộc tấn công mới này và chúng đã nâng cấp mã khai thác lỗ hổng phần mềm của chúng với lỗ hổng mới CVE-2021-20090.
Thực tế là hầu hết người sử dụng thiết bị định tuyến Internet là những người dùng ít tiếp xúc với các thông tin lỗ hổng để có thể cập nhật firmware cho thiết bị, vì vậy các cuộc tấn công vào thiết bị định tuyến này rất hiệu quả.
Mã khai thác lỗ hổng được sử dụng bởi nhóm hacker
Mã khai thác này thực hiện kích hoạt tính năng Telnetd và thực hiện tải về một đoạn mã lệnh để thực thi từ địa chỉ 212.192.241.7. Phân tích sâu hơn cho thấy đây là đoạn mã để cài đặt một biến thể của Mirai. Ngoài ra, đoạn mã này cũng thực hiện gỡ các biến thể Mirai trước nếu có.
Ngoài lỗ hổng kể trên, nhóm hacker cũng sử dụng một vài lỗ hổng khác như: CVE-2020-29557 (DLink routers); CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex); CVE-2021-31755 (Tenda AC11); CVE-2021-22502 (MicroFocus OBR); CVE-2021-22506 (MicroFocus AM) và một vài mã khai thác khác trên exploit-db mà không có CVE.
Các nhóm hacker luôn để mắt đến tất cả các lỗ hổng được tiết lộ. Mỗi khi một mã khai thác mới được công khai thì chỉ trong một thời gian ngắn họ đã tích hợp vào bộ công cụ khai thác tự động của họ và bắt đầu khai thác diện rộng trên phạm vi toàn Internet.
Trong khi đó, việc triển khai bản vá cho các thiết bị định tuyển gia đình còn gặp nhiều khó khăn vì hầu hết người dùng không am hiểu về công nghệ và không được thông báo về các lỗ hổng tiềm ẩn hay nâng cấp các bản vá. Cách duy nhất để khắc phục vấn đề này là yêu cầu các nhà cung cấp cung cấp các bản cập nhật tự động cho thiết bị.
Đăng Thứ
02:00 | 30/10/2019
08:00 | 25/08/2021
13:00 | 14/09/2021
14:00 | 24/09/2021
09:00 | 09/01/2018
09:07 | 03/03/2014
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024