Theo đó, trong 14 lỗ hổng mới được tìm thấy trong bộ định tuyến của DrayTek, bao gồm 01 lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2024-41592) được đánh giá với điểm CVSS 10/10, có thể bị các tác nhân đe dọa lợi dụng để chiếm quyền kiểm soát thiết bị nhằm đánh cắp dữ liệu nhạy cảm, triển khai phần mềm tống tiền và tiến hành các cuộc tấn công từ chối dịch vụ.
Các nhà nghiên cứu ước tính có khoảng 785.000 thiết bị DrayTek đang được kết nối với mạng Internet. Hầu hết các lỗ hổng đều nằm trong giao diện người dùng sử dụng đăng nhập trên website của bộ định tuyến, vì vậy nếu kẻ tấn công có thể truy cập dịch vụ đó trên mạng cục bộ hoặc qua mạng Internet công cộng, chúng có thể khai thác lỗ hổng để kiểm soát và phát động các cuộc tấn công khác vào các thiết bị được kết nối.
Mặc dù, Draytek đã cảnh báo rằng các bảng điều khiển của bộ định tuyến chỉ có thể truy cập được từ mạng cục bộ, tuy nhiên các nhà nghiên cứu tại Forescout đã phát hiện hơn 700.000 bộ định tuyến DrayTek công khai giao diện web trên Internet và hầu hết trong số đó (75%) được các doanh nghiệp sử dụng. Trong đó, có khoảng 38% thiết bị có nguy cơ gặp phải những lỗ hổng mà trước đó 2 năm đã được hãng bảo mật Trellix (Mỹ) cảnh báo.
Các lỗ hổng mới được phát hiện ảnh hưởng đến 24 mẫu sản phẩm của DrayTek, bao gồm một số mẫu đã ngưng sản xuất. Tuy nhiên, do mức độ nghiêm trọng của các lỗ hổng, DrayTek đã phát hành bản vá cho tất cả các bộ định tuyến, kể cả những sản phẩm hết vòng đời sản xuất.
Forescout khuyến cáo người dùng nên thực hiện một số bước để xác định xem thiết bị của họ đã bị xâm phạm hay chưa cũng như các biện pháp chung tốt nhất để hạn chế việc khai thác các lỗi tương tự trong tương lai như:
Thứ nhất, Vô hiệu hóa khả năng truy cập từ xa khi không cần thiết, khiến tin tặc khó tiếp cận giao diện người dùng web hơn. Nếu cần thiết, hãy bật xác thực hai yếu tố và triển khai danh sách kiểm soát truy cập để hạn chế quyền truy cập từ xa.
Thứ hai, Thực hiện phân đoạn mạng, sử dụng mật khẩu mạnh và giám sát thiết bị.
Bà Elisa Costante, Phó Chủ tịch nghiên cứu của Forescout chia sẻ với trang tin The Register rằng: "Trong 6 năm qua, các lỗ hổng của DrayTek đã liên tục bị các tác nhân đe dọa khai thác, đặc biệt là các nhóm tin tặc APT của Trung Quốc". Điều này ám chỉ rằng các tin tặc đang tấn công DrayTek trong nhiều năm qua mà hãng này vẫn chưa có nhiều biện pháp xử lý.
Trong tháng 9, Cục Điều tra Liên bang Mỹ (FBI) cho biết gián điệp của Chính phủ Trung Quốc đã khai thác 03 lỗ hổng bảo mật trong bộ định tuyến DrayTek để triển khai 01 mạng botnet trên 260.000 thiết bị. Trước đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm 02 lỗ hổng DrayTek vào danh mục các lỗ hổng đã khai thác đã biết (KEV).
Bà Costante cho biết thêm, tổng cộng các chuyên gia bảo mật đã ghi nhận 130 trường hợp tấn công liên quan đến DrayTek từ năm 2023 đến năm 2024.
Đầu tháng 10, các chuyên gia săn tìm lỗ hổng bảo mật tại Forescout đã công bố một phát hiện về 02 lỗ hổng mới được tìm thấy, bao gồm 01 lỗ hổng Command injection (CVE-2024-41585) và 01 lỗi tràn bộ đệm (CVE-2024-41592), cho phép tin tặc có được quyền truy cập từ xa vào hệ điều hành máy chủ trên thiết bị.
CVE-2024-41592 được đánh giá mức độ nghiêm trọng với điểm CVSS 10/10. Lỗ hổng tồn tại trong hàm GetCGI() của giao diện người dùng web, có chức năng truy xuất dữ liệu yêu cầu HTTP. Lỗ hổng này có thể bị người dùng chưa xác thực lợi dụng để thực thi mã từ xa hoặc gây ra tình trạng từ chối dịch vụ.
Trong khi đó, CVE-2024-41585 là một lỗ hổng nghiêm trọng tương tự có điểm CVSS 9,1 ảnh hưởng đến tệp nhị phân recvCmd trong firmware, được sử dụng để giao tiếp giữa hệ điều hành máy chủ và hệ điều hành máy khách.
Danh sách các model của DrayTek bị ảnh hưởng bao gồm: Vigor1000B, Vigor2962, Vigor3910, Vigor3912, Vigor165, Vigor166, Vigor2135, Vigor2763, Vigor2765, Vigor2766, Vigor2865, Vigor2866, Vigor2915, Vigor2620, VigorLTE200, Vigor2133, Vigor2762, Vigor2832, Vigor2860, Vigor2925, Vigor2862, Vigor2926, Vigor2952 và Vigor3220.
Trương Đình Dũng
10:00 | 02/10/2024
14:00 | 02/10/2024
13:00 | 30/09/2024
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
07:00 | 14/10/2024
