Cùng hợp tác trong một cuộc kiểm tra chất lượng router, các chuyên gia an ninh mạng Mantas Sasnauskas, James Clee và Roni Carta (của cybernews) đã phát hiện backdoor trong một bộ định tuyến Jetstream do Trung Quốc sản xuất, được bán độc quyền tại Walmart dưới dạng bộ định tuyến wifi giá rẻ mới. Backdoor này cho phép kẻ tấn công có khả năng điều khiển từ xa không chỉ các bộ định tuyến mà còn bất kỳ thiết bị nào được kết nối với mạng đó.
Bên cạnh bộ định tuyến Jetstream độc quyền của Walmart, nhóm nghiên cứu này cũng phát hiện bộ định tuyến Wavlink giá rẻ, thường được bán trên Amazon hoặc eBay, cũng tồn tại các backdoor tương tự. Các bộ định tuyến Wavlink cũng chứa một tập lệnh liệt kê các wifi lân cận và có khả năng kết nối với các mạng đó.
Bên cạnh đó các chuyên gia đã phát hiện bằng chứng cho thấy các backdoor này có liên quan tới mạng lưới botnet Mirai. Mirai là phần mềm độc hại lây nhiễm vào các thiết bị được kết nối với mạng, biến chúng thành các bot được điều khiển từ xa như một phần của mạng botnet và sử dụng trong các cuộc tấn công quy mô lớn. Nổi tiếng nhất trong số này là cuộc tấn công mạng Dyn DNS năm 2016, đã đánh sập các trang web lớn như Reddit, Netflix, CNN, GitHub, Twitter, Airbnb,...
Một trong những thông tin thú vị nhất của nghiên cứu này là việc phát hiện ra các backdoor đáng ngờ đã được kích hoạt trên tất cả các thiết bị. Backdoor là phương tiện để người được ủy quyền hoặc không được ủy quyền truy cập vào một hệ thống đóng (trong trường hợp này là bộ định tuyến) bằng cách bỏ qua các biện pháp bảo mật tiêu chuẩn và kiểm soát với quyền hạn cao nhất là root. Trong thực tế, các backdoor bí mật này là lý do để Mỹ, Đức và các chính phủ khác trên thế giới cấm sử dụng thiết bị Huawei. Bởi các công ty Trung Quốc có thể bí mật truy cập thông tin nhạy cảm qua các thiết bị mà họ bán ra.
Mặc dù, các thiết bị router mà người dùng nhận từ các nhà mạng thường có sẵn một backdoor để nhận hỗ trợ kỹ thuật từ ISP. Nhưng vấn đề ở đây Wavlink và Jetstream không phải là ISP.
Các bộ định tuyến Jetstream và Wavlink hiển thị GUI đơn giản (hoặc giao diện thân thiện với người dùng) cho các backdoor của họ, khác với giao diện được trình bày cho quản trị viên bộ định tuyến. Mặc dù, Wavlink có hướng dẫn trên trang web của mình về cách người dùng có thể truy cập vào thiết bị router của họ, nhưng backdoor mà các chuyên gia phát hiện dường như hướng đến việc thực thi mã từ xa.
Hình 1. Giao diện để thực thi lệnh với quyền root
Trong các tình huống thông thường, bất cứ khi nào kẻ tấn công muốn chiếm quyền kiểm soát bộ định tuyến, chúng cần có quyền truy cập vật lý vào thiết bị. Nhưng các thiết bị Wavlink và Jetstream lại cho phép truy cập từ xa vào router mà không cần xác thực.
Chuyên gia Carta đã khẳng định rằng đây không phải là một nhầm lẫn của nhà sản xuất, mà là một hành động có chủ đích để thiết lập các cổng hậu trên thiết bị. Một công ty sản xuất thiết bị router sẽ không cần truy cập vào thiết bị để hỗ trợ như các ISP.
Thiết bị router Wavlinks thậm chí còn cho phép liệt kê các mạng Wifi ở xung quanh nó và cho phép kết nối với các mạng wifi này. Điều này đặt ra rất nhiều câu hỏi rằng tại sao một công ty cần tạo ra tính năng này? Điều này dẫn tới việc kẻ tấn công có thể xâm nhập không chỉ thiết bị router này mà còn cả các mạng lân cận. Đây không phải là một điều bình thường của các nhà sản xuất thiết bị.
Hình 2. Tính năng cho phép liệt kê các mạng lân cận
Nếu người dùng đang sở hữu bất kỳ bộ định tuyến Jetstream, Wavlink hoặc các thiết bị cùng nhà sản xuất, thì sẽ không thể can thiệp, thay đổi vấn đề này. Bởi các backdoor được cài đặt mặc định. Điều duy nhất có thể giảm thiểu rủi ro tấn công là hạn chế truy cập đến thiết bị.
Mặc dù đã được báo cáo về các lỗ hổng từ 12, nhưng các nhà sản xuất đều không thực hiện bất kỳ động thái nào để gỡ bỏ các backdoor. Do vậy, người dùng được khuyến cáo ngưng sử dụng các thiết bị này và chuyển sang thiết bị mới. Ngoài ra, người dùng cũng nên tính đến việc đổi mật khẩu của tất cả các tài khoản quan trọng.
Đăng Thứ (Theo cybernews)
13:00 | 19/03/2018
14:00 | 28/03/2022
15:00 | 29/12/2017
14:11 | 06/12/2013
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
10:00 | 17/05/2024
