Cùng hợp tác trong một cuộc kiểm tra chất lượng router, các chuyên gia an ninh mạng Mantas Sasnauskas, James Clee và Roni Carta (của cybernews) đã phát hiện backdoor trong một bộ định tuyến Jetstream do Trung Quốc sản xuất, được bán độc quyền tại Walmart dưới dạng bộ định tuyến wifi giá rẻ mới. Backdoor này cho phép kẻ tấn công có khả năng điều khiển từ xa không chỉ các bộ định tuyến mà còn bất kỳ thiết bị nào được kết nối với mạng đó.
Bên cạnh bộ định tuyến Jetstream độc quyền của Walmart, nhóm nghiên cứu này cũng phát hiện bộ định tuyến Wavlink giá rẻ, thường được bán trên Amazon hoặc eBay, cũng tồn tại các backdoor tương tự. Các bộ định tuyến Wavlink cũng chứa một tập lệnh liệt kê các wifi lân cận và có khả năng kết nối với các mạng đó.
Bên cạnh đó các chuyên gia đã phát hiện bằng chứng cho thấy các backdoor này có liên quan tới mạng lưới botnet Mirai. Mirai là phần mềm độc hại lây nhiễm vào các thiết bị được kết nối với mạng, biến chúng thành các bot được điều khiển từ xa như một phần của mạng botnet và sử dụng trong các cuộc tấn công quy mô lớn. Nổi tiếng nhất trong số này là cuộc tấn công mạng Dyn DNS năm 2016, đã đánh sập các trang web lớn như Reddit, Netflix, CNN, GitHub, Twitter, Airbnb,...
Một trong những thông tin thú vị nhất của nghiên cứu này là việc phát hiện ra các backdoor đáng ngờ đã được kích hoạt trên tất cả các thiết bị. Backdoor là phương tiện để người được ủy quyền hoặc không được ủy quyền truy cập vào một hệ thống đóng (trong trường hợp này là bộ định tuyến) bằng cách bỏ qua các biện pháp bảo mật tiêu chuẩn và kiểm soát với quyền hạn cao nhất là root. Trong thực tế, các backdoor bí mật này là lý do để Mỹ, Đức và các chính phủ khác trên thế giới cấm sử dụng thiết bị Huawei. Bởi các công ty Trung Quốc có thể bí mật truy cập thông tin nhạy cảm qua các thiết bị mà họ bán ra.
Mặc dù, các thiết bị router mà người dùng nhận từ các nhà mạng thường có sẵn một backdoor để nhận hỗ trợ kỹ thuật từ ISP. Nhưng vấn đề ở đây Wavlink và Jetstream không phải là ISP.
Các bộ định tuyến Jetstream và Wavlink hiển thị GUI đơn giản (hoặc giao diện thân thiện với người dùng) cho các backdoor của họ, khác với giao diện được trình bày cho quản trị viên bộ định tuyến. Mặc dù, Wavlink có hướng dẫn trên trang web của mình về cách người dùng có thể truy cập vào thiết bị router của họ, nhưng backdoor mà các chuyên gia phát hiện dường như hướng đến việc thực thi mã từ xa.
Hình 1. Giao diện để thực thi lệnh với quyền root
Trong các tình huống thông thường, bất cứ khi nào kẻ tấn công muốn chiếm quyền kiểm soát bộ định tuyến, chúng cần có quyền truy cập vật lý vào thiết bị. Nhưng các thiết bị Wavlink và Jetstream lại cho phép truy cập từ xa vào router mà không cần xác thực.
Chuyên gia Carta đã khẳng định rằng đây không phải là một nhầm lẫn của nhà sản xuất, mà là một hành động có chủ đích để thiết lập các cổng hậu trên thiết bị. Một công ty sản xuất thiết bị router sẽ không cần truy cập vào thiết bị để hỗ trợ như các ISP.
Thiết bị router Wavlinks thậm chí còn cho phép liệt kê các mạng Wifi ở xung quanh nó và cho phép kết nối với các mạng wifi này. Điều này đặt ra rất nhiều câu hỏi rằng tại sao một công ty cần tạo ra tính năng này? Điều này dẫn tới việc kẻ tấn công có thể xâm nhập không chỉ thiết bị router này mà còn cả các mạng lân cận. Đây không phải là một điều bình thường của các nhà sản xuất thiết bị.
Hình 2. Tính năng cho phép liệt kê các mạng lân cận
Nếu người dùng đang sở hữu bất kỳ bộ định tuyến Jetstream, Wavlink hoặc các thiết bị cùng nhà sản xuất, thì sẽ không thể can thiệp, thay đổi vấn đề này. Bởi các backdoor được cài đặt mặc định. Điều duy nhất có thể giảm thiểu rủi ro tấn công là hạn chế truy cập đến thiết bị.
Mặc dù đã được báo cáo về các lỗ hổng từ 12, nhưng các nhà sản xuất đều không thực hiện bất kỳ động thái nào để gỡ bỏ các backdoor. Do vậy, người dùng được khuyến cáo ngưng sử dụng các thiết bị này và chuyển sang thiết bị mới. Ngoài ra, người dùng cũng nên tính đến việc đổi mật khẩu của tất cả các tài khoản quan trọng.
Đăng Thứ (Theo cybernews)
13:00 | 19/03/2018
14:00 | 28/03/2022
15:00 | 29/12/2017
14:11 | 06/12/2013
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Theo báo cáo của Viettel Threat Intelligence, đơn vị này đã ghi nhận nhiều chiến dịch tấn công mã độc ransomware có chủ đích nhắm vào các hệ thống của doanh nghiệp, tổ chức tại Việt Nam, tăng 70% so với cùng kỳ năm 2023.
10:00 | 20/05/2024