Phát hiện biến thể Miral botnet Beastmode tích cực khai thác lỗi bảo mật trong bộ định tuyến TOTOLINK
Mirai là một loại mã độc lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,...) và biến chúng thành một mạng máy tính ma (botnet) nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Cũng trong năm đó, cuộc tấn công DDoS lớn nhất thế giới từng được biết đến với lưu lượng hơn 1Tbps vào website công ty hosting OVH được thực hiện thông qua một mạng botnet với hơn 152 nghìn thiết bị IoT bao gồm cả camera CCTV và máy quay video cá nhân. Mã độc Miral sau đó nhanh chóng bị sao chép và lợi dụng bởi tin tặc, gây ra các cuộc tấn công mạng với các quy mô khác nhau.
Năm 2021, các nhà nghiên cứu từ AT&T Alien Lab (Mỹ) phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda.
Nhóm nghiên cứu FortiGuard Labs của Fortinet cho biết: "Mạng botnet Beastmode (hay còn gọi là B3astmode) là biến thể của Mirai đã tích hợp thêm việc khai thác các lỗ hổng để tăng lây nhiễm trên nhiều thiết bị. Năm lỗ hổng mới đã khai thác trong vòng một tháng, ba trong số đó nhắm tới các bộ định tuyến TOTOLINK".
Các lỗ hổng trong bộ định tuyến TOTOLINK bị khai thác bao gồm:
- CVE-2022-26210 (CVSS 9,8): Lỗ hổng chèn lệnh có thể bị khai thác để thực thi mã tùy ý.
- CVE-2022-26186 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến TOTOLINK N600R và A7100RU.
- 10 lỗ hổng có mã định danh từ CVE-2022-25075 đến CVE-2022-25084 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến nhiều bộ định tuyến TOTOLINK, cho phép thực thi mã.
Các mục tiêu khai thác khác của Beastmode bao gồm các lỗi trong TP-Link Tapo C200 IP camera (CVE-2021-4045, CVSS 9,8), bộ định tuyến Huawei HG532 (CVE-2017-17215, CVSS 8,8), các giải pháp giám sát video của NUUO và Netgear (CVE-2016-5674, CVSS 9,8), các sản phẩm bị ngừng hỗ trợ của D-Link (CVE-2021-45382, CVSS 9,8).
Beastmode với các tên tệp và thông số khác nhau
Các nhà nghiên cứu cũng cho biết thêm: "Mặc dù nhóm tin tặc đứng đằng sau mã độc Mirai đã bị bắt vào năm 2018, tuy nhiên với việc liên tục phát hiện các biến thể mới, cụ thể là Beastmode. Điều này cho thấy hacker có thể nhanh chóng kết hợp các lỗ hỗng bảo mật mới được khai thác để lây nhiễm các thiết bị chưa được vá lỗi".
Để ngăn chặn các mô hình bị khai thác bởi botnet, người dùng được khuyến nghị khẩn trương cập nhật thiết bị lên các phiên bản mới nhất.
Trương Đình Dũng