Hàng ngàn router Asus bị chiếm quyền bởi cửa hậu 'ViciousTrap'
9,000 router Asus bị chiếm quyền bởi cửa hậu ViciousTrap, lợi dụng lỗ hổng chưa được vá, được phát hiện bởi AI Sift của GreyNoise.
GreyNoise, một công ty giám sát mạng, đã phát hiện một chiến dịch cửa hậu bí ẩn tấn công ít nhất 9,000 router Asus. Cửa hậu này, được gọi là "ViciousTrap", cho phép tội phạm mạng khai thác các lỗi bảo mật, một số đã được vá, để tạo ra một mạng lưới botnet. Theo GreyNoise, cửa hậu này chưa thực hiện hành động tấn công trực tiếp và vẫn 'vô hình' đối với người dùng cuối và quản trị hệ thống.
Phân tích từ GreyNoise tiết lộ rằng ViciousTrap phá vỡ bảo mật thông qua lỗ hổng CVE-2023-39780. Các hacker sử dụng quyền truy cập SSH thông qua Key công để duy trì sự tồn tại của cửa hậu ngay cả sau khi router khởi động lại hoặc cập nhật firmware. Điều này cho phép chúng tấn công bất cứ lúc nào muốn chủ động hoặc tấn công theo lô vào thời điểm thích hợp.
GreyNoise đã chỉ ra hiệu quả của công nghệ AI riêng của mình, Sift, trong việc phát hiện các mẫu lưu lượng mạng bất thường vào tháng 3, dẫn đến việc phát hiện cửa hậu. Cửa hậu này được lưu trữ trong NVRAM và có khả năng phục hồi sau khi cập nhật, khiến chủ sở hữu router phải thực hiện các bước thủ công để tiêu diệt hoàn toàn mối đe dọa.
Các biện pháp phòng ngừa an ninh nên được thực hiện ngay lập tức để đảm bảo không bị ảnh hưởng, bao gồm cập nhật firmware của Asus và xóa các key công được sử dụng bởi kẻ tấn công. Bất kỳ cấu hình cổng TCP/IP tùy chỉnh nào cũng nên được đặt lại.
GreyNoise nhấn mạnh tầm quan trọng của việc giám sát lưu lượng truy cập cho các kết nối từ các IP đáng ngờ, như 101.99.91.151 và 79.141.163.179, để xây dựng một hệ thống bảo mật vững chắc hơn. Ngoài ra, thực hiện đặt lại nhà máy đầy đủ sẽ loại bỏ bất kỳ dấu hiệu nào của sự xâm nhập. Các nhà nghiên cứu lưu ý firmware router cần được cập nhật thường xuyên.
Nguồn: GreyNoise, TechSpot