CVE-2021-20090 là lỗ hổng được Tenable (Hòa Kỳ) phát hiện và công khai vào ngày 3/8/2021. Lỗ hổng này ảnh hưởng đến hàng triệu bộ định tuyến gia đình của trên 17 nhà cung cấp, bao gồm một số ISP. Điểm chung của các thiết bị trên là sử dụng firmware từ hãng Arcadyan.
CVE-2021-20090 sử dụng kỹ thuật tấn công Path Traversal giúp vượt qua xác thực vào trang quản trị của thiết bị. Sau khi khai thác lỗ hổng, hacker có thể chiếm quyền kiểm soát thiết bị bị ảnh hưởng. Ví dụ, Tenable đã chỉ ra cách sửa đổi cấu hình để kích hoạt dịch vụ telnet trên một bộ định tuyến chứa lỗ hổng và có được quyền truy cập shell với quyền root trên thiết bị.
Từ ngày 5/8/2021, Juniper Threat Labs đã xác định một số cuộc tấn công đến từ một địa chỉ IP đặt tại Vũ Hán, tỉnh Hồ Bắc, Trung Quốc đang khai thác lỗ hổng này. Nhóm hacker đang sử dụng một mã khai thác giúp cài đặt một biến thể Mirai trên các bộ định tuyến bị ảnh hưởng, bằng cách sử dụng các tập lệnh có tên tương tự như các tập lệnh được Palo Alto Networks đề cập vào tháng 3/2021.
Nhóm nghiên cứu của Juniper đã chứng kiến hoạt động tương tự bắt đầu từ ngày 18/2/2021 và cho rằng đều là cùng một nhóm hacker đứng đằng sau cuộc tấn công mới này và chúng đã nâng cấp mã khai thác lỗ hổng phần mềm của chúng với lỗ hổng mới CVE-2021-20090.
Thực tế là hầu hết người sử dụng thiết bị định tuyến Internet là những người dùng ít tiếp xúc với các thông tin lỗ hổng để có thể cập nhật firmware cho thiết bị, vì vậy các cuộc tấn công vào thiết bị định tuyến này rất hiệu quả.
Mã khai thác lỗ hổng được sử dụng bởi nhóm hacker
Mã khai thác này thực hiện kích hoạt tính năng Telnetd và thực hiện tải về một đoạn mã lệnh để thực thi từ địa chỉ 212.192.241.7. Phân tích sâu hơn cho thấy đây là đoạn mã để cài đặt một biến thể của Mirai. Ngoài ra, đoạn mã này cũng thực hiện gỡ các biến thể Mirai trước nếu có.
Ngoài lỗ hổng kể trên, nhóm hacker cũng sử dụng một vài lỗ hổng khác như: CVE-2020-29557 (DLink routers); CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex); CVE-2021-31755 (Tenda AC11); CVE-2021-22502 (MicroFocus OBR); CVE-2021-22506 (MicroFocus AM) và một vài mã khai thác khác trên exploit-db mà không có CVE.
Các nhóm hacker luôn để mắt đến tất cả các lỗ hổng được tiết lộ. Mỗi khi một mã khai thác mới được công khai thì chỉ trong một thời gian ngắn họ đã tích hợp vào bộ công cụ khai thác tự động của họ và bắt đầu khai thác diện rộng trên phạm vi toàn Internet.
Trong khi đó, việc triển khai bản vá cho các thiết bị định tuyển gia đình còn gặp nhiều khó khăn vì hầu hết người dùng không am hiểu về công nghệ và không được thông báo về các lỗ hổng tiềm ẩn hay nâng cấp các bản vá. Cách duy nhất để khắc phục vấn đề này là yêu cầu các nhà cung cấp cung cấp các bản cập nhật tự động cho thiết bị.
Đăng Thứ
02:00 | 30/10/2019
08:00 | 25/08/2021
13:00 | 14/09/2021
14:00 | 24/09/2021
09:00 | 09/01/2018
09:07 | 03/03/2014
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 04/10/2024