[CẢNH BÁO AN NINH MẠNG] GPON Routers – Botnet tiếp theo?

May 7, 2018 | vietsunshine

Lỗ hổng trong bộ định tuyến phổ biến GPON đã được phát hiện, các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa trên hơn một triệu router đã được triển khai ở Mexico, Kazakhstan và Việt Nam.

Tổng quan về lỗ hổng trên GPON

Các nhà nghiên cứu bảo mật tại vpnMentor gần đây đã tiến hành đánh giá một số bộ định tuyến Gigabit Passive Optical Network (GPON). Họ đã tìm thấy hai vụ khai thác có thể tác động đến hơn một triệu thiết bị và cho phép kẻ tấn công có khả năng thực thi mã từ xa trên thiết bị. GPON là một loại của Passive Optical Network (PON) được sử dụng để cung cấp kết nối cáp quang.

Bộ định tuyến GPON là một loại thiết bị mạng quang được sử dụng để cung cấp các kết nối cho các trạm di động gốc, các điểm truy cập tại nhà và hệ thống ăng ten (Distributed Antenna Systems). Hơn một triệu người dùng trên toàn thế giới sử dụng GPON. Các khu vực chính sử dụng các thiết bị GPON bao gồm Mexico, Kazakhstan và Việt Nam.

lỗ hổng trên thiết bị gpon

Các nhà nghiên cứu của vpnMentor’s đã phát hiện ra hai lỗ hổng nghiêm trọng trên GPON ảnh hưởng đến hơn 1 triệu home gateways. Hai lỗ hổng này cho phép kẻ tấn công có khả năng bỏ qua xác thực và thực thi mã từ xa trên thiết bị được nhắm mục tiêu. Chuỗi khai thác này dẫn tới sự nguy hại cho toàn bộ hệ thống mạng.

vpnMentors đã công bố về các lỗ hổng (CVE-2018-10561 & CVE-2018-10562, CERT Kazakhstan, KZ-CERT) và đã đưa ra cảnh báo sau khi xác minh số lượng lớn các bộ định tuyến GPON được cung cấp bởi các nhà khai thác viễn thông trong khu vực.

Phương pháp của tấn công GPON

Lỗ hổng đầu tiên, CVE-2018-10561, là một lỗ hổng xác thực tác động đến máy chủ HTTP tích hợp. Lỗ hổng này cho phép kẻ tấn công có khả năng thay đổi URL trong thanh địa chỉ khi truy cập thiết bị. Bằng cách thêm ‘?Images/’ vào cuối URL trên trang HTML hoặc GponForm/page, kẻ tấn công có thể truy cập vào thiết bị.

Lỗ hổng thứ hai, CVE-2018-10562, cho phép kẻ tấn công có khả năng thực thi mã từ xa trên thiết bị bị xâm nhập. Bởi vì các lệnh ping và traceroute trên diagnostics pages là “root level”, nên nó cho phép các lệnh khách thực hiện từ xa trên thiết bị thông qua một phương thức “injection” (tiêm vào).

Mục tiêu của cuộc tấn công thông qua GPON

Dasan Networks là một mục tiêu nổi tiếng nhất kể từ khi các nhà nghiên cứu và tin tặc tập trung vào một số lỗ hồng được tìm thấy trong thiết bị của họ. Nghiên cứu của Radware đã phát hiện ra một biến thể mới của Satori Botnet – nhắm vào cổng 8080 – có khả năng quét và khai thác CVE-2017-18046, một sự khai thác các thiết bị Dasan.

Ba lý do bạn cần quan tâm tới vấn đề này

  1. Bản chất của việc tiết lộ lỗ hổng trên GPON: CVE đã được bảo lưu bởi vpnMentor nhưng thiếu thông tin về các bản vá có sẵn. vpnMentor đã đăng video về cách khai thác hoạt động, giới thiệu người dùng đến ISP của họ để khắc phục sự cố. Mối quan ngại về việc tiết lộ này là nó để lại khoảng một triệu các thiết bị có thể bị tấn công khi chưa có giải pháp để ngăn chặn.
  2. Thiết bị IoT – Lựa chọn ưa thích của hacker: Do khả năng tích hợp bảo mật kém, các chương trình botnet nhắm vào  các thiết bị IoT ngày càng tăng, chúng cô gắng lây nhiễm và kiểm soát thiết bị.
  3. Tập trung vào bộ định tuyến và chuyển mạch mạng: Cùng với tin tặc và tội phạm mạng tìm cách kiểm soát một botnet lớn, các tin tặc được tài trợ bởi chính phủ đang nhắm mục tiêu tới cơ sở hạ tầng mạng, bao gồm các bộ định tuyến và chuyển mạch của người dân (Xem thêm về tư vấn CERT của Mỹ).

Các yếu tố bảo vệ DDoS hiệu quả

  • Hybrid DDoS Protection: Bảo vệ DDoS tại chỗ (On-premise) và đám mây (Cloud) cho thời gian thực và giải quyết các cuộc tấn công lưu lượng lớn.
  • Phát hiện dựa trên hành vi: Nhanh chóng, chính xác xác định và chặn bất thường trong khi cho phép lưu lượng truy cập hợp pháp thông qua.
  • Mẫu nhận diện theo thời gian thực: Bảo vệ kịp thời khỏi các mối đe dọa không xác định và các cuộc tấn công zero-day.
  • Kế hoạch ứng phó khẩn cấp cho Cyber-Security: Chuyên gia ứng phó khẩn cấp  có kinh nghiệm về bảo mật IoT và sử lý sự bùng phát IoT.
  • Nghiên cứu về các mối đe dọa chủ động: Độ tương quan, trung thực cao và sự phân tích để chống lại các kẻ tấn công hiện đang hoạt động được biết đến.

Để có thêm các biện pháp bảo mật mạng và ứng dụng (network and application security), các biện pháp bảo vệ DDoS (DDoS protection), Radware kêu gọi các công ty kiểm tra và vá lỗi mạng của họ để chống lại các rủi ro và mối đe dọa.

Bạn bị tấn công DDoS và cần sự hỗ trợ của các chuyên gia? Radware có thể giúp.

Radware cung cấp dịch vụ để giúp các doanh nghiệp trong trường hợp khẩn cấp. Để được tư vấn, hỗ trợ giải pháp vui lòng liên hệ VietSunshineNhà phân phối chính thức của Radware tại Việt Nam.

Tags: , , ,