Theo đó, trong 14 lỗ hổng mới được tìm thấy trong bộ định tuyến của DrayTek, bao gồm 01 lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2024-41592) được đánh giá với điểm CVSS 10/10, có thể bị các tác nhân đe dọa lợi dụng để chiếm quyền kiểm soát thiết bị nhằm đánh cắp dữ liệu nhạy cảm, triển khai phần mềm tống tiền và tiến hành các cuộc tấn công từ chối dịch vụ.
Các nhà nghiên cứu ước tính có khoảng 785.000 thiết bị DrayTek đang được kết nối với mạng Internet. Hầu hết các lỗ hổng đều nằm trong giao diện người dùng sử dụng đăng nhập trên website của bộ định tuyến, vì vậy nếu kẻ tấn công có thể truy cập dịch vụ đó trên mạng cục bộ hoặc qua mạng Internet công cộng, chúng có thể khai thác lỗ hổng để kiểm soát và phát động các cuộc tấn công khác vào các thiết bị được kết nối.
Mặc dù, Draytek đã cảnh báo rằng các bảng điều khiển của bộ định tuyến chỉ có thể truy cập được từ mạng cục bộ, tuy nhiên các nhà nghiên cứu tại Forescout đã phát hiện hơn 700.000 bộ định tuyến DrayTek công khai giao diện web trên Internet và hầu hết trong số đó (75%) được các doanh nghiệp sử dụng. Trong đó, có khoảng 38% thiết bị có nguy cơ gặp phải những lỗ hổng mà trước đó 2 năm đã được hãng bảo mật Trellix (Mỹ) cảnh báo.
Các lỗ hổng mới được phát hiện ảnh hưởng đến 24 mẫu sản phẩm của DrayTek, bao gồm một số mẫu đã ngưng sản xuất. Tuy nhiên, do mức độ nghiêm trọng của các lỗ hổng, DrayTek đã phát hành bản vá cho tất cả các bộ định tuyến, kể cả những sản phẩm hết vòng đời sản xuất.
Forescout khuyến cáo người dùng nên thực hiện một số bước để xác định xem thiết bị của họ đã bị xâm phạm hay chưa cũng như các biện pháp chung tốt nhất để hạn chế việc khai thác các lỗi tương tự trong tương lai như:
Thứ nhất, Vô hiệu hóa khả năng truy cập từ xa khi không cần thiết, khiến tin tặc khó tiếp cận giao diện người dùng web hơn. Nếu cần thiết, hãy bật xác thực hai yếu tố và triển khai danh sách kiểm soát truy cập để hạn chế quyền truy cập từ xa.
Thứ hai, Thực hiện phân đoạn mạng, sử dụng mật khẩu mạnh và giám sát thiết bị.
Bà Elisa Costante, Phó Chủ tịch nghiên cứu của Forescout chia sẻ với trang tin The Register rằng: "Trong 6 năm qua, các lỗ hổng của DrayTek đã liên tục bị các tác nhân đe dọa khai thác, đặc biệt là các nhóm tin tặc APT của Trung Quốc". Điều này ám chỉ rằng các tin tặc đang tấn công DrayTek trong nhiều năm qua mà hãng này vẫn chưa có nhiều biện pháp xử lý.
Trong tháng 9, Cục Điều tra Liên bang Mỹ (FBI) cho biết gián điệp của Chính phủ Trung Quốc đã khai thác 03 lỗ hổng bảo mật trong bộ định tuyến DrayTek để triển khai 01 mạng botnet trên 260.000 thiết bị. Trước đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm 02 lỗ hổng DrayTek vào danh mục các lỗ hổng đã khai thác đã biết (KEV).
Bà Costante cho biết thêm, tổng cộng các chuyên gia bảo mật đã ghi nhận 130 trường hợp tấn công liên quan đến DrayTek từ năm 2023 đến năm 2024.
Đầu tháng 10, các chuyên gia săn tìm lỗ hổng bảo mật tại Forescout đã công bố một phát hiện về 02 lỗ hổng mới được tìm thấy, bao gồm 01 lỗ hổng Command injection (CVE-2024-41585) và 01 lỗi tràn bộ đệm (CVE-2024-41592), cho phép tin tặc có được quyền truy cập từ xa vào hệ điều hành máy chủ trên thiết bị.
CVE-2024-41592 được đánh giá mức độ nghiêm trọng với điểm CVSS 10/10. Lỗ hổng tồn tại trong hàm GetCGI() của giao diện người dùng web, có chức năng truy xuất dữ liệu yêu cầu HTTP. Lỗ hổng này có thể bị người dùng chưa xác thực lợi dụng để thực thi mã từ xa hoặc gây ra tình trạng từ chối dịch vụ.
Trong khi đó, CVE-2024-41585 là một lỗ hổng nghiêm trọng tương tự có điểm CVSS 9,1 ảnh hưởng đến tệp nhị phân recvCmd trong firmware, được sử dụng để giao tiếp giữa hệ điều hành máy chủ và hệ điều hành máy khách.
Danh sách các model của DrayTek bị ảnh hưởng bao gồm: Vigor1000B, Vigor2962, Vigor3910, Vigor3912, Vigor165, Vigor166, Vigor2135, Vigor2763, Vigor2765, Vigor2766, Vigor2865, Vigor2866, Vigor2915, Vigor2620, VigorLTE200, Vigor2133, Vigor2762, Vigor2832, Vigor2860, Vigor2925, Vigor2862, Vigor2926, Vigor2952 và Vigor3220.
Trương Đình Dũng
10:00 | 02/10/2024
13:00 | 30/09/2024
13:00 | 17/10/2024
14:00 | 02/10/2024
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
15:00 | 20/09/2024
Nhóm tin tặc tấn công có chủ đích liên quan đến Trung Quốc, được biết đến với tên gọi Mustang Panda, đã bị phát hiện sử dụng phần mềm Visual Studio Code như một phần của hoạt động gián điệp nhắm vào các chính phủ ở khu vực Đông Nam Á.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024