-
09/04/2020
-
99
-
810 bài viết
Lỗ hổng mới trong router D-Link cho phép chiếm quyền điều khiển từ xa qua Telnet
Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng nghiêm trọng (CVE-2025-46176) trong hai mẫu router phổ biến của D-Link, có thể khiến hàng triệu thiết bị tại gia và doanh nghiệp bị tin tặc chiếm quyền điều khiển từ xa.
Lỗ hổng nghiêm trọng CVE-2025-46176 (CVSS 9.8) trong các mẫu router D-Link phổ biến, cho phép kẻ tấn công từ xa truy cập trái phép và thực thi lệnh hệ thống thông qua tài khoản Telnet được mã hóa cứng trong firmware.
Lỗi xuất phát từ việc sử dụng tài khoản Telnet mặc định với thông tin xác thực được mã hóa cứng trong firmware. Kẻ tấn công có thể sử dụng các công cụ phân tích firmware như binwalk để trích xuất hệ thống tệp và tìm ra thông tin xác thực này, từ đó truy cập trái phép vào thiết bị.
Qua phân tích firmware hệ thống bằng công cụ binwalk, các nhà nghiên cứu đã phát hiện tập tin telnetd.sh khởi tạo dịch vụ Telnet một cách tự động và cấu hình một tài khoản có tên “Alphanetworks” với mật khẩu được lấy từ biến $image_sign.
Đáng lo ngại, mật khẩu này được lưu cố định trong tập tin image_sign nằm tại ./etc/alpha_config/image_sign, và giống nhau trên tất cả thiết bị cùng dòng và phiên bản firmware. Điều này đồng nghĩa: chỉ cần biết thông tin từ một thiết bị, kẻ tấn công có thể truy cập hàng triệu router khác có cùng lỗ hổng.
Một khi kẻ tấn công đăng nhập được qua Telnet, họ có thể thực thi lệnh hệ thống với đặc quyền root, từ đó chiếm quyền điều khiển router và toàn bộ lưu lượng mạng đi qua thiết bị. Router bị khai thác có thể bị dùng cho các mục đích độc hại như:
Khuyến nghị bảo vệ:
Lỗ hổng nghiêm trọng CVE-2025-46176 (CVSS 9.8) trong các mẫu router D-Link phổ biến, cho phép kẻ tấn công từ xa truy cập trái phép và thực thi lệnh hệ thống thông qua tài khoản Telnet được mã hóa cứng trong firmware.
Lỗi xuất phát từ việc sử dụng tài khoản Telnet mặc định với thông tin xác thực được mã hóa cứng trong firmware. Kẻ tấn công có thể sử dụng các công cụ phân tích firmware như binwalk để trích xuất hệ thống tệp và tìm ra thông tin xác thực này, từ đó truy cập trái phép vào thiết bị.
Qua phân tích firmware hệ thống bằng công cụ binwalk, các nhà nghiên cứu đã phát hiện tập tin telnetd.sh khởi tạo dịch vụ Telnet một cách tự động và cấu hình một tài khoản có tên “Alphanetworks” với mật khẩu được lấy từ biến $image_sign.
Đáng lo ngại, mật khẩu này được lưu cố định trong tập tin image_sign nằm tại ./etc/alpha_config/image_sign, và giống nhau trên tất cả thiết bị cùng dòng và phiên bản firmware. Điều này đồng nghĩa: chỉ cần biết thông tin từ một thiết bị, kẻ tấn công có thể truy cập hàng triệu router khác có cùng lỗ hổng.
Một khi kẻ tấn công đăng nhập được qua Telnet, họ có thể thực thi lệnh hệ thống với đặc quyền root, từ đó chiếm quyền điều khiển router và toàn bộ lưu lượng mạng đi qua thiết bị. Router bị khai thác có thể bị dùng cho các mục đích độc hại như:
- Giám sát hoặc đánh cắp dữ liệu mạng
- Tấn công mạng nội bộ (lateral movement)
- Tuyển dụng vào botnet để phát tán mã độc hoặc DDoS
- Cài cắm phần mềm gián điệp vào thiết bị khác trong mạng
- D-Link DIR-605L phiên bản firmware 2.13B01
- D-Link DIR-816L phiên bản firmware 2.06B01
Khuyến nghị bảo vệ:
- Ngay lập tức kiểm tra và cập nhật firmware mới nhất từ D-Link (nếu có).
- Vô hiệu hóa dịch vụ Telnet nếu không cần sử dụng cho mục đích quản trị mạng.
- Thực hiện quét hạ tầng mạng để xác định các router dễ bị tổn thương.
- Xem xét thay thế thiết bị nếu nhà sản xuất không còn hỗ trợ cập nhật.
Theo Cyber Press