Router TP-Link bị nhắm mục tiêu: Lỗ hổng cũ bị khai thác để phát tán botnet Mirai

[WhiteHat Team]

Các chuyên gia an ninh mạng vừa ghi nhận làn sóng tấn công gia tăng nhằm vào các bộ định tuyến TP-Link tồn tại lỗ hổng bảo mật đã được công bố từ trước. Đáng chú ý, tin tặc đang tích cực khai thác điểm yếu này để phát tán mã độc Mirai, biến các thiết bị mạng dân dụng thành “zombie” phục vụ các chiến dịch tấn công quy mô lớn trên Internet.
​

Ảnh: Internet​

Lỗ hổng bị khai thác mang mã CVE-2023-33538, tồn tại trong giao diện quản trị web của một số dòng router TP-Link. Đây là lỗi command injection (chèn lệnh), cho phép kẻ tấn công thực thi các lệnh hệ thống trái phép nếu khai thác thành công.

Điểm đáng lo ngại là các cuộc tấn công hiện nay chủ yếu nhắm vào những thiết bị đã “hết vòng đời”, tức không còn được nhà sản xuất cập nhật bản vá bảo mật. Tuy nhiên, do vẫn đang được sử dụng rộng rãi trong hộ gia đình và doanh nghiệp nhỏ, các thiết bị này trở thành mục tiêu lý tưởng để tin tặc xây dựng mạng botnet quy mô lớn.

Theo phân tích từ Palo Alto Networks, kẻ tấn công đang quét Internet để tìm các router lộ diện công khai, sau đó gửi các yêu cầu HTTP được chế tạo đặc biệt nhằm khai thác lỗ hổng. Nếu thành công, chúng có thể thực thi lệnh trên thiết bị và tải xuống các payload độc hại.

Quá trình tấn công thường diễn ra theo một chuỗi khá điển hình. Sau khi truy cập được vào giao diện quản trị, tin tặc lợi dụng tham số dễ bị tổn thương để chèn lệnh hệ thống. Các lệnh này sẽ tải một tệp nhị phân từ máy chủ bên ngoài, cấp quyền thực thi và khởi chạy trên router. Đây chính là biến thể của Mirai – một loại malware nổi tiếng chuyên biến thiết bị IoT thành bot phục vụ các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Sau khi lây nhiễm, thiết bị sẽ kết nối đến máy chủ điều khiển (C2) để chờ lệnh. Từ đây, router có thể bị điều khiển từ xa để tham gia tấn công DDoS hoặc tiếp tục lan truyền mã độc sang các thiết bị khác trong mạng.

Tuy nhiên, một chi tiết quan trọng được các chuyên gia nhấn mạnh là lỗ hổng này yêu cầu xác thực trước khi khai thác. Nói cách khác, tin tặc cần đăng nhập vào router trước khi thực hiện chèn lệnh. Trên thực tế, đây không phải rào cản lớn, bởi rất nhiều người dùng vẫn giữ nguyên tài khoản mặc định như “admin/admin”, khiến việc xâm nhập trở nên dễ dàng.​

Rủi ro và mức độ nguy hiểm​

Dù một số thử nghiệm tấn công được ghi nhận còn tồn tại lỗi kỹ thuật, nguy cơ từ lỗ hổng này vẫn được đánh giá là nghiêm trọng. Khi kết hợp giữa thông tin đăng nhập hợp lệ và mã khai thác hoàn chỉnh, tin tặc có thể nhanh chóng chiếm quyền kiểm soát thiết bị.

Điều này không chỉ ảnh hưởng đến cá nhân người dùng mà còn tạo ra rủi ro ở cấp độ hạ tầng. Một số lượng lớn router bị kiểm soát có thể được huy động vào các chiến dịch tấn công quy mô lớn, gây gián đoạn dịch vụ Internet diện rộng.​

Hậu quả đối với người dùng​

Khi router bị xâm nhập, toàn bộ lưu lượng mạng đi qua thiết bị có thể bị theo dõi hoặc can thiệp. Tin tặc có thể đánh cắp dữ liệu, chuyển hướng truy cập đến các trang giả mạo, hoặc sử dụng thiết bị như một điểm trung gian để tấn công các mục tiêu khác.

Trong nhiều trường hợp, người dùng gần như không nhận ra thiết bị của mình đã bị kiểm soát, trong khi nó vẫn âm thầm tham gia vào các hoạt động độc hại trên Internet.​

Khuyến nghị và biện pháp phòng tránh​

Các chuyên gia an ninh mạng khuyến cáo người dùng cần thực hiện ngay một số biện pháp cơ bản nhưng hiệu quả:​

• Thay đổi ngay tên đăng nhập và mật khẩu mặc định của router​
• Ngừng sử dụng các thiết bị đã hết vòng đời, không còn được cập nhật bảo mật​
• Tắt hoặc hạn chế truy cập từ xa vào giao diện quản trị​
• Cập nhật firmware mới nhất nếu thiết bị vẫn còn được hỗ trợ​

Đối với doanh nghiệp và tổ chức, cần rà soát hệ thống mạng để phát hiện các thiết bị dễ bị tổn thương, đồng thời giám sát lưu lượng bất thường có thể liên quan đến hoạt động của botnet.​

Theo Cyber Security​

​