Cùng hợp tác trong một cuộc kiểm tra chất lượng router, các chuyên gia an ninh mạng Mantas Sasnauskas, James Clee và Roni Carta (của cybernews) đã phát hiện backdoor trong một bộ định tuyến Jetstream do Trung Quốc sản xuất, được bán độc quyền tại Walmart dưới dạng bộ định tuyến wifi giá rẻ mới. Backdoor này cho phép kẻ tấn công có khả năng điều khiển từ xa không chỉ các bộ định tuyến mà còn bất kỳ thiết bị nào được kết nối với mạng đó.
Bên cạnh bộ định tuyến Jetstream độc quyền của Walmart, nhóm nghiên cứu này cũng phát hiện bộ định tuyến Wavlink giá rẻ, thường được bán trên Amazon hoặc eBay, cũng tồn tại các backdoor tương tự. Các bộ định tuyến Wavlink cũng chứa một tập lệnh liệt kê các wifi lân cận và có khả năng kết nối với các mạng đó.
Bên cạnh đó các chuyên gia đã phát hiện bằng chứng cho thấy các backdoor này có liên quan tới mạng lưới botnet Mirai. Mirai là phần mềm độc hại lây nhiễm vào các thiết bị được kết nối với mạng, biến chúng thành các bot được điều khiển từ xa như một phần của mạng botnet và sử dụng trong các cuộc tấn công quy mô lớn. Nổi tiếng nhất trong số này là cuộc tấn công mạng Dyn DNS năm 2016, đã đánh sập các trang web lớn như Reddit, Netflix, CNN, GitHub, Twitter, Airbnb,...
Một trong những thông tin thú vị nhất của nghiên cứu này là việc phát hiện ra các backdoor đáng ngờ đã được kích hoạt trên tất cả các thiết bị. Backdoor là phương tiện để người được ủy quyền hoặc không được ủy quyền truy cập vào một hệ thống đóng (trong trường hợp này là bộ định tuyến) bằng cách bỏ qua các biện pháp bảo mật tiêu chuẩn và kiểm soát với quyền hạn cao nhất là root. Trong thực tế, các backdoor bí mật này là lý do để Mỹ, Đức và các chính phủ khác trên thế giới cấm sử dụng thiết bị Huawei. Bởi các công ty Trung Quốc có thể bí mật truy cập thông tin nhạy cảm qua các thiết bị mà họ bán ra.
Mặc dù, các thiết bị router mà người dùng nhận từ các nhà mạng thường có sẵn một backdoor để nhận hỗ trợ kỹ thuật từ ISP. Nhưng vấn đề ở đây Wavlink và Jetstream không phải là ISP.
Các bộ định tuyến Jetstream và Wavlink hiển thị GUI đơn giản (hoặc giao diện thân thiện với người dùng) cho các backdoor của họ, khác với giao diện được trình bày cho quản trị viên bộ định tuyến. Mặc dù, Wavlink có hướng dẫn trên trang web của mình về cách người dùng có thể truy cập vào thiết bị router của họ, nhưng backdoor mà các chuyên gia phát hiện dường như hướng đến việc thực thi mã từ xa.
Hình 1. Giao diện để thực thi lệnh với quyền root
Trong các tình huống thông thường, bất cứ khi nào kẻ tấn công muốn chiếm quyền kiểm soát bộ định tuyến, chúng cần có quyền truy cập vật lý vào thiết bị. Nhưng các thiết bị Wavlink và Jetstream lại cho phép truy cập từ xa vào router mà không cần xác thực.
Chuyên gia Carta đã khẳng định rằng đây không phải là một nhầm lẫn của nhà sản xuất, mà là một hành động có chủ đích để thiết lập các cổng hậu trên thiết bị. Một công ty sản xuất thiết bị router sẽ không cần truy cập vào thiết bị để hỗ trợ như các ISP.
Thiết bị router Wavlinks thậm chí còn cho phép liệt kê các mạng Wifi ở xung quanh nó và cho phép kết nối với các mạng wifi này. Điều này đặt ra rất nhiều câu hỏi rằng tại sao một công ty cần tạo ra tính năng này? Điều này dẫn tới việc kẻ tấn công có thể xâm nhập không chỉ thiết bị router này mà còn cả các mạng lân cận. Đây không phải là một điều bình thường của các nhà sản xuất thiết bị.
Hình 2. Tính năng cho phép liệt kê các mạng lân cận
Nếu người dùng đang sở hữu bất kỳ bộ định tuyến Jetstream, Wavlink hoặc các thiết bị cùng nhà sản xuất, thì sẽ không thể can thiệp, thay đổi vấn đề này. Bởi các backdoor được cài đặt mặc định. Điều duy nhất có thể giảm thiểu rủi ro tấn công là hạn chế truy cập đến thiết bị.
Mặc dù đã được báo cáo về các lỗ hổng từ 12, nhưng các nhà sản xuất đều không thực hiện bất kỳ động thái nào để gỡ bỏ các backdoor. Do vậy, người dùng được khuyến cáo ngưng sử dụng các thiết bị này và chuyển sang thiết bị mới. Ngoài ra, người dùng cũng nên tính đến việc đổi mật khẩu của tất cả các tài khoản quan trọng.
Đăng Thứ (Theo cybernews)
13:00 | 19/03/2018
14:00 | 28/03/2022
15:00 | 29/12/2017
14:11 | 06/12/2013
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024
