Hơn 12 triệu bộ định tuyến gia đình và doanh nghiệp gặp nguy hiểm

 Hơn 12 triệu thiết bị định tuyến tại nhà và doanh nghiệp trên thế giới chứa lỗ hổng nghiêm trọng do lỗi phần mềm, có thể bị hacker khai thác từ xa, theo dõi lưu lượng truy cập của người sử dụng và kiểm soát hành chính trên các thiết bị.

Lỗ hổng thực sự nghiêm trọng nằm trong máy chủ web RomPager của công ty nổi tiếng AllegroSoft, máy chủ này thường được nhúng vào trong firmware của router, modem và các thiết bị gateway khác từ các nhà sản xuất hàng đầu. Cung cấp giao diện thân thiện với người dùng trên web cho cấu hình sản phẩm.

Các nhà nghiên cứu tại các công ty phần mềm bảo mật Check Point đã phát hiện ra rằng các phiên bản RomPager trước 4.34 – phần mềm hơn 10 năm nay – rất dễ bị lỗi nghiêm trọng, được gọi là Misfortune Cookie. Lỗ hổng này được gọi là Misfortune Cookie bởi nó cho phép kẻ tấn công kiểm soát các tài nguyên của một yêu cầu HTTP bằng cách thao tác các tập tin cookie.

Cách lỗ hổng khai thác

Lỗ hổng có mã CVE-2014-9222 trong cơ sở dữ liệu Common Vulnerabilities and Exposure có thể khai thác bằng cách gửi một yêu cầu crafted đơn đặc biệt đến máy chủ RomPager mà có thể làm gián đoạn bộ nhớ của thiết bị kết nối, giúp tin tặc kiểm soát máy chủ. Sử dụng cách này, kẻ tấn công có thể nhắm tới bất kỳ thiết bị nào khác trên mạng.

Một khi kẻ tấn công kiểm soát được các thiết bị, chúng có thể theo dõi quá trình duyệt web của nạn nhân, đọc lưu lượng thông qua các thiết bị, thay đổi thiết lập DNS, ăn cắp mật khẩu tài khoản và dữ liệu nhạy cảm của nạn nhân, giám sát hoặc kiểm soát Webcam, máy vi tính, hoặc các thiết bị kết nối mạng khác .

Có ít nhất 200 mẫu các thiết bị gateway khác nhau, hoặc router văn phòng cơ quan/văn phòng tại nhà (SOHO) từ các nhà sản xuất và thương hiệu khác nhau dễ bị lỗ hổng Misfortune Cookie, bao gồm các bộ D-Link, Edimax, Huawei, TP-Link, ZTE và ZyXEL.

Lỗi này không chỉ ảnh hưởng đến các bộ định tuyến, modem và các thiết bị cổng khác mà còn cho bất cứ thiết bị nào kết nối với máy tính cá nhân, điện thoại thông minh, máy tính bảng và máy in đến các thiết bị nhà thông minh như lò vi sóng, tủ lạnh, camera an ninh và nhiều hơn nữa. Điều này đơn giản có nghĩa là nếu một router dễ bị tổn thương thì tất cả các thiết bị kết nối trong mạng LAN đó đều gặp nguy cơ.

Cuộc tấn công tồi tệ

Bất kỳ kẻ tấn công nào cũng có thể khai thác Misfortune Cookie ở bất cứ nơi nào trên thế giới, ngay cả khi thiết bị gateway được cấu hình không lộ giao diện quản trị Web, làm cho lỗ hổng trở nên nguy hiểm hơn.

Bởi vì nhiều router và các thiết bị cổng được cấu hình để chấp nhận yêu cầu kết nối công khai trên cổng 7547 như một phần của một giao thức quản lý từ xa gọi là TR-069 hoặc CWMP (Customer Premises Equipment WAN Management Protocol), cho phép kẻ tấn công gửi một cookie độc hại từ xa đến cổng đó và đưa phần mềm độc hại vào trong máy chủ.

12 triệu thiết bị nguy hiểm trước cuộc tấn công 

Lỗ hổng xuất hiện từ năm 2002 và AllegroSoft dường như đã xác định được lỗi trong phần mềm RomPager vào năm 2005, nhưng phần cứng từ các công ty lớn như Huawei, D-Link, ZTE và những công ty khác hiện đang bán các sản phẩm có chứa các phiên bản tồn tại lỗ hổng của RomPager. Như phát hiện của Check Point cho biết rằng 12 triệu thiết bị gateway ở trong các gia đình, văn phòng và tại các địa điểm khác chứa lỗ hổng vẫn còn tồn tại.

Một số nhà cung cấp có thể cập nhật bản vá firmware cho RomPager để khắc phục Misfortune Cookie mà không làm thay đổi số phiên bản hiển thị, hủy bỏ số liệu này như một chỉ số của lỗ hổng. Hiện Misfortune Cookie đang là mối nguy cho hàng triệu gia đình và doanh nghiệp nhỏ trên thế giới. Nếu không sớm có biện pháp khắc phục và bảo vệ, tin tặc sẽ có cơ hội lớn khai thác những thông tin dữ liệu quan trọng.

Theo THN