Lỗ hổng mới trong router D-Link cho phép chiếm quyền điều khiển từ xa qua Telnet

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
810 bài viết
Lỗ hổng mới trong router D-Link cho phép chiếm quyền điều khiển từ xa qua Telnet
Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng nghiêm trọng (CVE-2025-46176) trong hai mẫu router phổ biến của D-Link, có thể khiến hàng triệu thiết bị tại gia và doanh nghiệp bị tin tặc chiếm quyền điều khiển từ xa.

image.png

Lỗ hổng nghiêm trọng CVE-2025-46176 (CVSS 9.8) trong các mẫu router D-Link phổ biến, cho phép kẻ tấn công từ xa truy cập trái phép và thực thi lệnh hệ thống thông qua tài khoản Telnet được mã hóa cứng trong firmware.

Lỗi xuất phát từ việc sử dụng tài khoản Telnet mặc định với thông tin xác thực được mã hóa cứng trong firmware. Kẻ tấn công có thể sử dụng các công cụ phân tích firmware như binwalk để trích xuất hệ thống tệp và tìm ra thông tin xác thực này, từ đó truy cập trái phép vào thiết bị.

Qua phân tích firmware hệ thống bằng công cụ binwalk, các nhà nghiên cứu đã phát hiện tập tin telnetd.sh khởi tạo dịch vụ Telnet một cách tự động và cấu hình một tài khoản có tên “Alphanetworks” với mật khẩu được lấy từ biến $image_sign.

Đáng lo ngại, mật khẩu này được lưu cố định trong tập tin image_sign nằm tại ./etc/alpha_config/image_sign, và giống nhau trên tất cả thiết bị cùng dòng và phiên bản firmware. Điều này đồng nghĩa: chỉ cần biết thông tin từ một thiết bị, kẻ tấn công có thể truy cập hàng triệu router khác có cùng lỗ hổng.

Một khi kẻ tấn công đăng nhập được qua Telnet, họ có thể thực thi lệnh hệ thống với đặc quyền root, từ đó chiếm quyền điều khiển router và toàn bộ lưu lượng mạng đi qua thiết bị. Router bị khai thác có thể bị dùng cho các mục đích độc hại như:
  • Giám sát hoặc đánh cắp dữ liệu mạng
  • Tấn công mạng nội bộ (lateral movement)
  • Tuyển dụng vào botnet để phát tán mã độc hoặc DDoS
  • Cài cắm phần mềm gián điệp vào thiết bị khác trong mạng
Thiết bị bị ảnh hưởng:
  • D-Link DIR-605L phiên bản firmware 2.13B01
  • D-Link DIR-816L phiên bản firmware 2.06B01
Cả hai dòng sản phẩm này được phân phối rộng rãi tại nhiều quốc gia, bao gồm cả Việt Nam, và chủ yếu dùng trong hộ gia đình và doanh nghiệp SMB – nơi bảo mật thường bị xem nhẹ.

Khuyến nghị bảo vệ:
  • Ngay lập tức kiểm tra và cập nhật firmware mới nhất từ D-Link (nếu có).
  • Vô hiệu hóa dịch vụ Telnet nếu không cần sử dụng cho mục đích quản trị mạng.
  • Thực hiện quét hạ tầng mạng để xác định các router dễ bị tổn thương.
  • Xem xét thay thế thiết bị nếu nhà sản xuất không còn hỗ trợ cập nhật.
Phát hiện lần này thêm một minh chứng cho lỗ hổng dài hạn trong bảo mật thiết bị IoT: các thông tin đăng nhập mã hóa cứng, dù tiện cho bảo trì nội bộ thì sẽ luôn là quả bom nổ chậm nếu bị rò rỉ.

Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2025-46176 d-link firmware iot
Bên trên