WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Botnet nhắm mục tiêu đến lỗ hổng zero-day trong GPON router
Hai lỗ hổng chưa được vá trong GPON router của Dasan đang bị khai thác bởi các botnet Internet of Things (IoT).
Hai lỗ hổng CVE-2018-10561 và CVE-2018-10562 được tiết lộ đầu tháng 5 và tác động đến hàng trăm nghìn thiết bị. Các lỗ hổng có thể bị khai thác từ xa, cho phép kẻ tấn công toàn quyền kiểm soát thiết bị bị ảnh hưởng.
Dasan Networks (Hàn Quốc) chưa phát hành bản vá lỗi, nhưng nỗ lực khai thác liên tục xuất hiện.
Tuần trước, Fortinet cảnh báo về một biến thể mới của Mirai đã bổ sung khả năng khai thác lỗ hổng GPON. Công ty cũng tiết lộ một botnet có tên Omni đã được phát tán vào các thiết bị bị xâm nhập.
Theo các nhà nghiên cứu từ Qihoo 360 Netlab, có 5 botnet nhắm tới hai lỗ hổng GPON vào tuần trước, cụ thể là Hajime, Mettle, Mirai, Muhstik và Satori.
Hiện giờ, các nhà nghiên cứu cho biết một botnet cũ hơn được gọi là TheMoon cũng đã tham gia nhóm khai thác lỗ hổng GPON. Hoạt động từ ít nhất năm 2014, botnet này đã hợp nhất ít nhất 6 mã khai thác IoT khác nhau vào năm ngoái và dường như đang tiếp tục phát triển.
“Một điều rất đặc biệt về của botnet này là trọng tải tấn công. Nó trông giống như một zero-day. Chúng tôi đã kiểm tra tải trọng này trên hai phiên bản GPON home router khác nhau, tất cả đều hoạt động. Tất cả điều này làm cho TheMoon hoàn toàn khác biệt, và chúng tôi đã chọn không tiết lộ chi tiết tải trọng tấn công”, Netlab lưu ý.
Trend Micro cũng báo cáo hoạt động quét giống như của Mirai ở Mexico, với các bộ định tuyến GPON là mục tiêu. Điều này là không có gì ngạc nhiên khi hầu hết các bộ định tuyến Dasan kết nối Internet bị ảnh hưởng bởi hai lỗ hổng này đều nằm ở Mexico, Kazakhstan và Việt Nam.
“Không giống như hoạt động trước đó, các mục tiêu cho quy trình quét mới này được phân bổ. Tuy nhiên, dựa trên kết hợp tên người dùng và mật khẩu tìm thấy trong dữ liệu của mình, chúng tôi kết luận rằng thiết bị đích vẫn bao gồm router gia đình hoặc camera IP sử dụng mật khẩu mặc định”, Trend Micro lưu ý.
Các cuộc tấn công cũng cố gắng xâm nhập thiết bị mục tiêu bằng cách sử dụng lỗ hổng an ninh. Một script tải xuống được sử dụng để tìm các biến thể của mã độc cho bốn kiến trúc khác nhau, cụ thể là ARM, ARMv7, MIPS và MIPS, kiến trúc phổ biến trong các thiết bị nhúng và IoT.
Hai lỗ hổng CVE-2018-10561 và CVE-2018-10562 được tiết lộ đầu tháng 5 và tác động đến hàng trăm nghìn thiết bị. Các lỗ hổng có thể bị khai thác từ xa, cho phép kẻ tấn công toàn quyền kiểm soát thiết bị bị ảnh hưởng.
Dasan Networks (Hàn Quốc) chưa phát hành bản vá lỗi, nhưng nỗ lực khai thác liên tục xuất hiện.
Tuần trước, Fortinet cảnh báo về một biến thể mới của Mirai đã bổ sung khả năng khai thác lỗ hổng GPON. Công ty cũng tiết lộ một botnet có tên Omni đã được phát tán vào các thiết bị bị xâm nhập.
Theo các nhà nghiên cứu từ Qihoo 360 Netlab, có 5 botnet nhắm tới hai lỗ hổng GPON vào tuần trước, cụ thể là Hajime, Mettle, Mirai, Muhstik và Satori.
Hiện giờ, các nhà nghiên cứu cho biết một botnet cũ hơn được gọi là TheMoon cũng đã tham gia nhóm khai thác lỗ hổng GPON. Hoạt động từ ít nhất năm 2014, botnet này đã hợp nhất ít nhất 6 mã khai thác IoT khác nhau vào năm ngoái và dường như đang tiếp tục phát triển.
“Một điều rất đặc biệt về của botnet này là trọng tải tấn công. Nó trông giống như một zero-day. Chúng tôi đã kiểm tra tải trọng này trên hai phiên bản GPON home router khác nhau, tất cả đều hoạt động. Tất cả điều này làm cho TheMoon hoàn toàn khác biệt, và chúng tôi đã chọn không tiết lộ chi tiết tải trọng tấn công”, Netlab lưu ý.
Trend Micro cũng báo cáo hoạt động quét giống như của Mirai ở Mexico, với các bộ định tuyến GPON là mục tiêu. Điều này là không có gì ngạc nhiên khi hầu hết các bộ định tuyến Dasan kết nối Internet bị ảnh hưởng bởi hai lỗ hổng này đều nằm ở Mexico, Kazakhstan và Việt Nam.
“Không giống như hoạt động trước đó, các mục tiêu cho quy trình quét mới này được phân bổ. Tuy nhiên, dựa trên kết hợp tên người dùng và mật khẩu tìm thấy trong dữ liệu của mình, chúng tôi kết luận rằng thiết bị đích vẫn bao gồm router gia đình hoặc camera IP sử dụng mật khẩu mặc định”, Trend Micro lưu ý.
Các cuộc tấn công cũng cố gắng xâm nhập thiết bị mục tiêu bằng cách sử dụng lỗ hổng an ninh. Một script tải xuống được sử dụng để tìm các biến thể của mã độc cho bốn kiến trúc khác nhau, cụ thể là ARM, ARMv7, MIPS và MIPS, kiến trúc phổ biến trong các thiết bị nhúng và IoT.
Theo Security Week