WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
[Update ngày 4/1/2017] Mã lỗ hổng 0-Day để tấn công router Huawei bị tiết lộ
[Update ngày 4/1/2017] Theo báo cáo vào tháng 12/2017, phần mềm độc hại Satori có thể lây nhiễm hơn 280.000 địa chỉ IP chỉ trong 12 tiếng đồng thời chiếm quyền điều khiển hàng ngàn bộ định tuyến bằng cách khai thác lỗ hổng CVE-2017-17215.
Chuyên gia của hãng Checkpoint cho biết, đoạn mã được công khai đồng nghĩa với việc có nhiều kẻ xấu hơn có thể sử dụng nó. Việc khai thác đoạn mã sẽ trở thành món hàng mua bán, và các botnet IoT sẽ bổ sung CVE-2017-17215 vào kho vũ khí tấn công của chúng.
Tuần trước, Check Point đã xác định lỗ hổng CVE-2017-17215 trong mẫu router HG532 của Huawei bị hacker Nexus Zeta khai thác để phát tán biến thể Mirai có tên Okiku/Satori. Trong thông báo cập nhật tới khách hàng, Huawei cảnh báo lỗ hổng này cho phép kẻ tấn công từ xa gửi các gói tin độc hại đến cổng 37215, từ đó thực thi mã từ xa trên các bộ định tuyến tồn tại lỗ hổng.
"Hiện tại mã này đã được nhiều hacker mũ đen biết tới. Tương tự các mã khai thác trên SOAP trước đây được công khai miễn phí, nó sẽ được chạy trên nhiều kịch bản khác nhau bởi những người tò mò và cả các hacker thực sự", chuyên gia NewSky Security nhận định
Cũng theo chuyên gia này, nguyên nhân cơ bản là một lỗi liên quan đến SOAP, một giao thức được dùng trên nhiều thiết bị IoT. Các vấn đề trước đây trong SOAP (CVE-2014-8361 và TR-064) đã làm ảnh hưởng đến nhiều nhà cung cấp khác nhau và được sử dụng rộng rãi bởi các biến thể Mirai.
Trong trường hợp của CVE-2017-17215, lỗ hổng 0 day này khai thác cách thức bộ định tuyến Huawei sử dụng giao thức Universal Plug and Play (UPnP) và tiêu chuẩn báo cáo kỹ thuật TR-064. TR-064 là một chuẩn được thiết kế để việc thêm các thiết bị UPnP vào một mạng lưới nội bộ dễ dàng hơn.
Theo các chuyên gia, trong trường hợp này, việc triển khai TR-064 trong các thiết bị Huawei bị lộ trên WAN qua cổng 37215 (UPnP). Khung UPnP hỗ trợ "DeviceUpgrade" có thể thực hiện việc nâng cấp firmware.
Lỗ hổng cho phép các quản trị viên thực thi các lệnh tùy ý từ xa bằng cách chèn các shell meta-character vào tiến trình DeviceUpgrade.
Theo hãng Checkpoint, sau khi các lệnh này đã được thực thi, thông báo mặc định HUAWEIUPNP được trả về, và 'nâng cấp' trên bắt đầu diễn ra.
Mục đích chính của payload là hướng dẫn bot làm “quá tải” các mục tiêu bằng các gói tin UDP hoặc TCP.
Chuyên gia Anubhav từ NewSky Security cho biết: "Mã khai thác đã được sử dụng bởi hai botnet IoT lớn, Brickerbot và Satori, và sau khi được công khai, nó sẽ được kết hợp vào các dòng botnet khác nhau”.
Trong thông báo của Huawei, người dùng được khuyến cáo cấu hình tường lửa tích hợp trong bộ định tuyến của router, thay đổi mật khẩu mặc định hoặc dùng tường lửa từ phía nhà cung cấp dịch vụ.
Tuy nhiên, chuyên gia Checkpoint cho biết, người sử dụng router này chủ yếu là người dùng hộ gia đình, thường không đăng nhập vào giao diện router của mình và không phải ai cũng biết cách xử lý, và do đó hầu hết các thiết bị sẽ có thể bị khai thác.
Nguồn: Computerweekly
---------------------------------------------------------------------------------------------------
Mã khai thác trong biến thể malware Mirai có tên Satori, từng được dùng để tấn công hàng trăm nghìn bộ định tuyến Huawei trong nhiều tuần trước đã được công bố. Theo cảnh báo của các chuyên gia, mã sẽ nhanh chóng bị khai thác để tấn công DDoS thông qua các botnet như Reaper hoặc IOTrooper.Tuần trước, Check Point đã xác định lỗ hổng CVE-2017-17215 trong mẫu router HG532 của Huawei bị hacker Nexus Zeta khai thác để phát tán biến thể Mirai có tên Okiku/Satori. Trong thông báo cập nhật tới khách hàng, Huawei cảnh báo lỗ hổng này cho phép kẻ tấn công từ xa gửi các gói tin độc hại đến cổng 37215, từ đó thực thi mã từ xa trên các bộ định tuyến tồn tại lỗ hổng.
"Hiện tại mã này đã được nhiều hacker mũ đen biết tới. Tương tự các mã khai thác trên SOAP trước đây được công khai miễn phí, nó sẽ được chạy trên nhiều kịch bản khác nhau bởi những người tò mò và cả các hacker thực sự", chuyên gia NewSky Security nhận định
Cũng theo chuyên gia này, nguyên nhân cơ bản là một lỗi liên quan đến SOAP, một giao thức được dùng trên nhiều thiết bị IoT. Các vấn đề trước đây trong SOAP (CVE-2014-8361 và TR-064) đã làm ảnh hưởng đến nhiều nhà cung cấp khác nhau và được sử dụng rộng rãi bởi các biến thể Mirai.
Trong trường hợp của CVE-2017-17215, lỗ hổng 0 day này khai thác cách thức bộ định tuyến Huawei sử dụng giao thức Universal Plug and Play (UPnP) và tiêu chuẩn báo cáo kỹ thuật TR-064. TR-064 là một chuẩn được thiết kế để việc thêm các thiết bị UPnP vào một mạng lưới nội bộ dễ dàng hơn.
Theo các chuyên gia, trong trường hợp này, việc triển khai TR-064 trong các thiết bị Huawei bị lộ trên WAN qua cổng 37215 (UPnP). Khung UPnP hỗ trợ "DeviceUpgrade" có thể thực hiện việc nâng cấp firmware.
Lỗ hổng cho phép các quản trị viên thực thi các lệnh tùy ý từ xa bằng cách chèn các shell meta-character vào tiến trình DeviceUpgrade.
Theo hãng Checkpoint, sau khi các lệnh này đã được thực thi, thông báo mặc định HUAWEIUPNP được trả về, và 'nâng cấp' trên bắt đầu diễn ra.
Mục đích chính của payload là hướng dẫn bot làm “quá tải” các mục tiêu bằng các gói tin UDP hoặc TCP.
Chuyên gia Anubhav từ NewSky Security cho biết: "Mã khai thác đã được sử dụng bởi hai botnet IoT lớn, Brickerbot và Satori, và sau khi được công khai, nó sẽ được kết hợp vào các dòng botnet khác nhau”.
Trong thông báo của Huawei, người dùng được khuyến cáo cấu hình tường lửa tích hợp trong bộ định tuyến của router, thay đổi mật khẩu mặc định hoặc dùng tường lửa từ phía nhà cung cấp dịch vụ.
Tuy nhiên, chuyên gia Checkpoint cho biết, người sử dụng router này chủ yếu là người dùng hộ gia đình, thường không đăng nhập vào giao diện router của mình và không phải ai cũng biết cách xử lý, và do đó hầu hết các thiết bị sẽ có thể bị khai thác.
Theo Threatpost
Chỉnh sửa lần cuối: