Phát hiện lỗ hổng zero-day RCE trong bộ định tuyến D-Link EXO AX4800
D-Link DIR-X4860 là bộ định tuyến Wi-Fi 6 hiệu suất cao với tốc độ lên tới 4.800 Mbps và các tính năng bổ sung như OFDMA, MU-MIMO và BSS Coloring giúp nâng cao hiệu quả và giảm nhiễu. Thiết bị này đặc biệt phổ biến ở Canada, được bán trên thị trường toàn cầu và vẫn đang được nhà cung cấp hỗ trợ.
Mới đây, nhóm nghiên cứu của nhóm SSD Secure Disclosure thông báo rằng họ đã phát hiện ra các lỗ hổng trong các thiết bị DIR-X4860 chạy phiên bản firmware mới nhất, DIRX4860A1_FWV1.04B03, cho phép thực thi lệnh từ xa (RCE) mà không cần xác thực. "Các lỗ hổng bảo mật trong DIR-X4860 cho phép những kẻ tấn công không được xác thực có thể truy cập vào cổng HNAP để có được các đặc quyền nâng cao và thực thi các lệnh với quyền root. Bằng cách kết hợp bỏ qua xác thực với thực thi lệnh, thiết bị có thể bị xâm phạm hoàn toà", tiết lộ của SSD cho biết.
Việc truy cập cổng Giao thức quản trị mạng gia đình (HNAP) trên bộ định tuyến D-Link DIR-X4860 tương đối đơn giản trong hầu hết các trường hợp, vì cổng này thường có thể truy cập HTTP (cổng 80) hoặc HTTPS (cổng 443) thông qua giao diện quản lý từ xa của bộ định tuyến.
Quá trình khai thác
Các nhà phân tích SSD đã chia sẻ bước khai thác cho các lỗ hổng mà họ phát hiện, mã khai thác cho lỗ hổng cũng đã được công khai.
Cuộc tấn công bắt đầu bằng việc gửi một yêu cầu đăng nhập HNAP độc hại tới giao diện quản lý của bộ định tuyến, bao gồm một tham số có tên "PrivateLogin" được đặt thành "Username" và một username (tên người dùng) là "Admin".
Bộ định tuyến phản hồi với một thử thách, cookie và khóa công khai (public key), những giá trị này được sử dụng để tạo mật khẩu đăng nhập hợp lệ cho tài khoản "Admin".
Yêu cầu đăng nhập tiếp theo có tiêu đề HNAP_AUTH và LoginPassword (mật khẩu đăng nhập) đã được tạo được gửi đến thiết bị mục tiêu, về cơ bản là bỏ qua xác thực.
Yêu cầu đăng nhập bỏ qua bước xác thực (Nguồn: SSD Secure Disclosure)
Với quyền truy cập được xác thực, kẻ tấn công sau đó khai thác lỗ hổng command injection trong chức năng "SetVirtualServerSettings".
SSD cho biết đã liên hệ với D-Link ba lần để chia sẻ về những phát hiện của họ với nhà sản xuất bộ định tuyến trong 30 ngày qua, nhưng mọi nỗ lực thông báo đều không thành công, khiến các lỗ hổng hiện vẫn chưa được khắc phục.
Cho đến khi bản cập nhật bảo mật firmware được phát hành, người dùng DIR-X4860 nên tắt giao diện quản lý truy cập từ xa của thiết bị để ngăn chặn việc khai thác và áp dụng bản cập nhật ngay khi nó có sẵn.
Hà Phương