CVE-2021-20090 là lỗ hổng được Tenable (Hòa Kỳ) phát hiện và công khai vào ngày 3/8/2021. Lỗ hổng này ảnh hưởng đến hàng triệu bộ định tuyến gia đình của trên 17 nhà cung cấp, bao gồm một số ISP. Điểm chung của các thiết bị trên là sử dụng firmware từ hãng Arcadyan.
CVE-2021-20090 sử dụng kỹ thuật tấn công Path Traversal giúp vượt qua xác thực vào trang quản trị của thiết bị. Sau khi khai thác lỗ hổng, hacker có thể chiếm quyền kiểm soát thiết bị bị ảnh hưởng. Ví dụ, Tenable đã chỉ ra cách sửa đổi cấu hình để kích hoạt dịch vụ telnet trên một bộ định tuyến chứa lỗ hổng và có được quyền truy cập shell với quyền root trên thiết bị.
Từ ngày 5/8/2021, Juniper Threat Labs đã xác định một số cuộc tấn công đến từ một địa chỉ IP đặt tại Vũ Hán, tỉnh Hồ Bắc, Trung Quốc đang khai thác lỗ hổng này. Nhóm hacker đang sử dụng một mã khai thác giúp cài đặt một biến thể Mirai trên các bộ định tuyến bị ảnh hưởng, bằng cách sử dụng các tập lệnh có tên tương tự như các tập lệnh được Palo Alto Networks đề cập vào tháng 3/2021.
Nhóm nghiên cứu của Juniper đã chứng kiến hoạt động tương tự bắt đầu từ ngày 18/2/2021 và cho rằng đều là cùng một nhóm hacker đứng đằng sau cuộc tấn công mới này và chúng đã nâng cấp mã khai thác lỗ hổng phần mềm của chúng với lỗ hổng mới CVE-2021-20090.
Thực tế là hầu hết người sử dụng thiết bị định tuyến Internet là những người dùng ít tiếp xúc với các thông tin lỗ hổng để có thể cập nhật firmware cho thiết bị, vì vậy các cuộc tấn công vào thiết bị định tuyến này rất hiệu quả.
Mã khai thác lỗ hổng được sử dụng bởi nhóm hacker
Mã khai thác này thực hiện kích hoạt tính năng Telnetd và thực hiện tải về một đoạn mã lệnh để thực thi từ địa chỉ 212.192.241.7. Phân tích sâu hơn cho thấy đây là đoạn mã để cài đặt một biến thể của Mirai. Ngoài ra, đoạn mã này cũng thực hiện gỡ các biến thể Mirai trước nếu có.
Ngoài lỗ hổng kể trên, nhóm hacker cũng sử dụng một vài lỗ hổng khác như: CVE-2020-29557 (DLink routers); CVE-2021-1497 and CVE-2021-1498 (Cisco HyperFlex); CVE-2021-31755 (Tenda AC11); CVE-2021-22502 (MicroFocus OBR); CVE-2021-22506 (MicroFocus AM) và một vài mã khai thác khác trên exploit-db mà không có CVE.
Các nhóm hacker luôn để mắt đến tất cả các lỗ hổng được tiết lộ. Mỗi khi một mã khai thác mới được công khai thì chỉ trong một thời gian ngắn họ đã tích hợp vào bộ công cụ khai thác tự động của họ và bắt đầu khai thác diện rộng trên phạm vi toàn Internet.
Trong khi đó, việc triển khai bản vá cho các thiết bị định tuyển gia đình còn gặp nhiều khó khăn vì hầu hết người dùng không am hiểu về công nghệ và không được thông báo về các lỗ hổng tiềm ẩn hay nâng cấp các bản vá. Cách duy nhất để khắc phục vấn đề này là yêu cầu các nhà cung cấp cung cấp các bản cập nhật tự động cho thiết bị.
Đăng Thứ
02:00 | 30/10/2019
08:00 | 25/08/2021
13:00 | 14/09/2021
14:00 | 24/09/2021
09:00 | 09/01/2018
09:07 | 03/03/2014
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024