Hơn 700.000 bộ định tuyến DrayTek đang là mục tiêu dễ bị tấn công từ xa
Theo đó, trong 14 lỗ hổng mới được tìm thấy trong bộ định tuyến của DrayTek, bao gồm 01 lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2024-41592) được đánh giá với điểm CVSS 10/10, có thể bị các tác nhân đe dọa lợi dụng để chiếm quyền kiểm soát thiết bị nhằm đánh cắp dữ liệu nhạy cảm, triển khai phần mềm tống tiền và tiến hành các cuộc tấn công từ chối dịch vụ.
Các nhà nghiên cứu ước tính có khoảng 785.000 thiết bị DrayTek đang được kết nối với mạng Internet. Hầu hết các lỗ hổng đều nằm trong giao diện người dùng sử dụng đăng nhập trên website của bộ định tuyến, vì vậy nếu kẻ tấn công có thể truy cập dịch vụ đó trên mạng cục bộ hoặc qua mạng Internet công cộng, chúng có thể khai thác lỗ hổng để kiểm soát và phát động các cuộc tấn công khác vào các thiết bị được kết nối.
Mặc dù, Draytek đã cảnh báo rằng các bảng điều khiển của bộ định tuyến chỉ có thể truy cập được từ mạng cục bộ, tuy nhiên các nhà nghiên cứu tại Forescout đã phát hiện hơn 700.000 bộ định tuyến DrayTek công khai giao diện web trên Internet và hầu hết trong số đó (75%) được các doanh nghiệp sử dụng. Trong đó, có khoảng 38% thiết bị có nguy cơ gặp phải những lỗ hổng mà trước đó 2 năm đã được hãng bảo mật Trellix (Mỹ) cảnh báo.
Các lỗ hổng mới được phát hiện ảnh hưởng đến 24 mẫu sản phẩm của DrayTek, bao gồm một số mẫu đã ngưng sản xuất. Tuy nhiên, do mức độ nghiêm trọng của các lỗ hổng, DrayTek đã phát hành bản vá cho tất cả các bộ định tuyến, kể cả những sản phẩm hết vòng đời sản xuất.
Forescout khuyến cáo người dùng nên thực hiện một số bước để xác định xem thiết bị của họ đã bị xâm phạm hay chưa cũng như các biện pháp chung tốt nhất để hạn chế việc khai thác các lỗi tương tự trong tương lai như:
Thứ nhất, Vô hiệu hóa khả năng truy cập từ xa khi không cần thiết, khiến tin tặc khó tiếp cận giao diện người dùng web hơn. Nếu cần thiết, hãy bật xác thực hai yếu tố và triển khai danh sách kiểm soát truy cập để hạn chế quyền truy cập từ xa.
Thứ hai, Thực hiện phân đoạn mạng, sử dụng mật khẩu mạnh và giám sát thiết bị.
Bà Elisa Costante, Phó Chủ tịch nghiên cứu của Forescout chia sẻ với trang tin The Register rằng: "Trong 6 năm qua, các lỗ hổng của DrayTek đã liên tục bị các tác nhân đe dọa khai thác, đặc biệt là các nhóm tin tặc APT của Trung Quốc". Điều này ám chỉ rằng các tin tặc đang tấn công DrayTek trong nhiều năm qua mà hãng này vẫn chưa có nhiều biện pháp xử lý.
Trong tháng 9, Cục Điều tra Liên bang Mỹ (FBI) cho biết gián điệp của Chính phủ Trung Quốc đã khai thác 03 lỗ hổng bảo mật trong bộ định tuyến DrayTek để triển khai 01 mạng botnet trên 260.000 thiết bị. Trước đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm 02 lỗ hổng DrayTek vào danh mục các lỗ hổng đã khai thác đã biết (KEV).
Bà Costante cho biết thêm, tổng cộng các chuyên gia bảo mật đã ghi nhận 130 trường hợp tấn công liên quan đến DrayTek từ năm 2023 đến năm 2024.
Đầu tháng 10, các chuyên gia săn tìm lỗ hổng bảo mật tại Forescout đã công bố một phát hiện về 02 lỗ hổng mới được tìm thấy, bao gồm 01 lỗ hổng Command injection (CVE-2024-41585) và 01 lỗi tràn bộ đệm (CVE-2024-41592), cho phép tin tặc có được quyền truy cập từ xa vào hệ điều hành máy chủ trên thiết bị.
CVE-2024-41592 được đánh giá mức độ nghiêm trọng với điểm CVSS 10/10. Lỗ hổng tồn tại trong hàm GetCGI() của giao diện người dùng web, có chức năng truy xuất dữ liệu yêu cầu HTTP. Lỗ hổng này có thể bị người dùng chưa xác thực lợi dụng để thực thi mã từ xa hoặc gây ra tình trạng từ chối dịch vụ.
Trong khi đó, CVE-2024-41585 là một lỗ hổng nghiêm trọng tương tự có điểm CVSS 9,1 ảnh hưởng đến tệp nhị phân recvCmd trong firmware, được sử dụng để giao tiếp giữa hệ điều hành máy chủ và hệ điều hành máy khách.
Danh sách các model của DrayTek bị ảnh hưởng bao gồm: Vigor1000B, Vigor2962, Vigor3910, Vigor3912, Vigor165, Vigor166, Vigor2135, Vigor2763, Vigor2765, Vigor2766, Vigor2865, Vigor2866, Vigor2915, Vigor2620, VigorLTE200, Vigor2133, Vigor2762, Vigor2832, Vigor2860, Vigor2925, Vigor2862, Vigor2926, Vigor2952 và Vigor3220.
Trương Đình Dũng