WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Mạng botnet proxy lợi dụng hơn 65.000 thiết bị router
Hãng Akamai đã phát hiện hơn 65.000 router (thiết bị định tuyến) kết nối với Internet thông qua giao thức Universal Plug and Play (UpnP) đang bị khai thác thành mạng botnet proxy cho nhiều mục đích khác nhau.
Các thiết bị tồn tại lỗ hổng đã bị NAT injections (một kỹ thuật chèn dữ liệu vào bảng NAT) giúp kẻ xấu thực hiện được nhiều mục đích khác nhau, như vượt qua cơ chế kiểm duyệt, spam và lừa đảo, gian lận quảng cáo, kiểm soát tài khoản và gian lận thẻ tín dụng, tấn công DDoS và nhiều mục đích khác.
65.000 router bị khai thác, là một phần của hơn 4,8 triệu thiết bị tồn tại lỗ hổng trước các truy vấn UDP SSDP đơn giản. Khoảng 765.000 trong các thiết bị trên được tìm thấy lỗi khi triển khai giao thức TCP.
Trong báo cáo của hãng Akamai, hầu hết các thiết bị bị ảnh hưởng đều ở cấp độ người dùng và có nguồn gốc từ 73 nhãn hiệu/nhà sản xuất. Gần 400 mẫu chứa lỗ hổng, nhưng các nhà sản xuất và các thiết bị khác cũng được cho là bị ảnh hưởng bởi việc triển khai UPnP đang tồn tại lỗi này.
Được thiết kế để hỗ trợ giao tiếp tốt hơn giữa các thiết bị trên mạng LAN, giao thức UPnP được sử dụng rộng rãi, nhưng từ lâu cũng được biết đến là có vấn đề. Trên thực tế, lỗi này đã tồn tại trong hơn một thập kỷ. Một báo cáo năm 2013 đã tiết lộ hàng chục triệu thiết bị tồn tại lỗ hổng trên Internet.
Giao thức cho phép tự động cấu hình việc mở/chuyển tiếp cổng trong môi trường mạng bật tính năng NAT, hay nói cách khác các thiết bị trong mạng này có thể mở các cổng để thúc đẩy lưu lượng định tuyến vào và ra. Tuy nhiên, một số dịch vụ tồn tại lỗi có đặc quyền và chỉ được sử dụng bởi các thiết bị đáng tin cậy trên mạng LAN.
Các router bị khai thác trên chỉ là một phần của chiến dịch có tổ chức và quy mô rộng rãi. Mục đích của việc can thiệp này là biến các router thành proxy, do vậy các nhà nghiên cứu gọi là các thiết bị UPnProxy bị can thiệp.
Các entries NAT được chèn có thể hoạt động trên nhiều thiết bị khác nhau. Như vậy, trên 65.000 thiết bị bị lây nhiễm, 17.599 địa chỉ IP đã được phát hiện. IP được nhận diện nhiều nhất đã được chèn hơn 18,8 triệu lần trên 23.286 thiết bị, trong khi IP đứng thứ hai là 11 triệu lần trên 59.943 thiết bị.
Việc chèn dữ liệu hướng tới nhiều dịch vụ và máy chủ trên Internet và hầu hết trong số đó chọn mục tiêu là các cổng 53 (15,9 triệu cho DNS), 80 (9,5 triệu cho HTTP) và 443 (155.000 cho HTTPS).
Theo Akamai, mạng botnet proxy đa mục đích dường như liên quan đến nhóm Inception Framework lần đầu tiên được biết đến vào năm 2014. Nhóm này trước đây đã từng nhắm đến các lĩnh vực Năng lượng và Quốc phòng, Tư vấn/An ninh, Không gian vũ trụ, Nghiên cứu và Các ngành truyền thông, bên cạnh các đại sứ quán.
Các chuyên gia Bkav khuyến cáo người dùng cần tắt tính năng UPnP trên router và đặt mật khẩu quản trị mạnh để bảo vệ thiết bị trước các cuộc tấn công.
65.000 router bị khai thác, là một phần của hơn 4,8 triệu thiết bị tồn tại lỗ hổng trước các truy vấn UDP SSDP đơn giản. Khoảng 765.000 trong các thiết bị trên được tìm thấy lỗi khi triển khai giao thức TCP.
Trong báo cáo của hãng Akamai, hầu hết các thiết bị bị ảnh hưởng đều ở cấp độ người dùng và có nguồn gốc từ 73 nhãn hiệu/nhà sản xuất. Gần 400 mẫu chứa lỗ hổng, nhưng các nhà sản xuất và các thiết bị khác cũng được cho là bị ảnh hưởng bởi việc triển khai UPnP đang tồn tại lỗi này.
Được thiết kế để hỗ trợ giao tiếp tốt hơn giữa các thiết bị trên mạng LAN, giao thức UPnP được sử dụng rộng rãi, nhưng từ lâu cũng được biết đến là có vấn đề. Trên thực tế, lỗi này đã tồn tại trong hơn một thập kỷ. Một báo cáo năm 2013 đã tiết lộ hàng chục triệu thiết bị tồn tại lỗ hổng trên Internet.
Giao thức cho phép tự động cấu hình việc mở/chuyển tiếp cổng trong môi trường mạng bật tính năng NAT, hay nói cách khác các thiết bị trong mạng này có thể mở các cổng để thúc đẩy lưu lượng định tuyến vào và ra. Tuy nhiên, một số dịch vụ tồn tại lỗi có đặc quyền và chỉ được sử dụng bởi các thiết bị đáng tin cậy trên mạng LAN.
Các router bị khai thác trên chỉ là một phần của chiến dịch có tổ chức và quy mô rộng rãi. Mục đích của việc can thiệp này là biến các router thành proxy, do vậy các nhà nghiên cứu gọi là các thiết bị UPnProxy bị can thiệp.
Các entries NAT được chèn có thể hoạt động trên nhiều thiết bị khác nhau. Như vậy, trên 65.000 thiết bị bị lây nhiễm, 17.599 địa chỉ IP đã được phát hiện. IP được nhận diện nhiều nhất đã được chèn hơn 18,8 triệu lần trên 23.286 thiết bị, trong khi IP đứng thứ hai là 11 triệu lần trên 59.943 thiết bị.
Việc chèn dữ liệu hướng tới nhiều dịch vụ và máy chủ trên Internet và hầu hết trong số đó chọn mục tiêu là các cổng 53 (15,9 triệu cho DNS), 80 (9,5 triệu cho HTTP) và 443 (155.000 cho HTTPS).
Theo Akamai, mạng botnet proxy đa mục đích dường như liên quan đến nhóm Inception Framework lần đầu tiên được biết đến vào năm 2014. Nhóm này trước đây đã từng nhắm đến các lĩnh vực Năng lượng và Quốc phòng, Tư vấn/An ninh, Không gian vũ trụ, Nghiên cứu và Các ngành truyền thông, bên cạnh các đại sứ quán.
Các chuyên gia Bkav khuyến cáo người dùng cần tắt tính năng UPnP trên router và đặt mật khẩu quản trị mạnh để bảo vệ thiết bị trước các cuộc tấn công.
Theo Securityweek, Bkav