Lý giải nguyên nhân các modem của FPT bị tấn công thay đổi cấu hình

Vừa qua, trong quá trình hỗ trợ một người dùng máy tính của Việt Nam khắc phục sự cố khi kết nối Internet. Chúng tôi đã phát hiện ra một số vấn đề nghiêm trọng đang tồn tại trong bộ modem router TP-LINK. Rất có thể đây chính là nguyên nhân dẫn đến việc rất nhiều khách hàng của FPT bị mất mạng do bị hacker thay đổi cấu hình của thiết bị.

Sự cố này xảy ra khi người dùng không thể truy cập được vào Internet hoặc truy cập với tốc độ rất chậm. Các kết quả kiểm tra cho thấy máy tính không hề bị nhiễm mã độc, hay các phần mềm gián điệp, botnet…

Chúng tôi tiến hành kiểm tra hệ thống modem router ADSL (TP-LINK 8804T), truy cập vào trang quản trị với địa chỉ http://192.168.1.1/ thì thật bất ngờ rằng mật khẩu đăng nhập đã bị thay đổi. Tiếp tục thử với các tài khoản mặc định của nhà cung cấp cũng không thành công. Tiếp tục kiểm tra cấu hình mạng máy tính thì kết quả là địa chỉ DNS đã bị thay đổi, với một máy chủ DNS lạ tại địa chỉ: 5.127.225.133 và một địa chỉ khác là DNS của Google (8.8.8.8).

5.127.225.133: Là địa chỉ một máy chủ đặt tại IRAN, rất có thể là địa chỉ DNS giả mạo do hacker đã thay đổi sau khi chiếm quyền điều khiển hệ thống modem.

Hệ thống modem đã bị tấn công

Chúng tôi nghi ngờ rằng hệ thống modem router đã bị hacker tấn công và thay đổi cấu hình?

Bằng cách phán đoán và sử dụng một số biện pháp kỹ thuật chúng tôi phát hiện hệ thống TP-LINK này đang tồn tại một lỗ hổng rất nguy hiểm đã được công bố đầu năm 2014 bởi một lập trình viên có tên là Nasro. Lỗ hổng nằm trong ZynOS (ZyXEL firmware) – hệ điều hành nhúng đang chạy trong các thiết bị modem này).

Lỗ hổng trong ZynOS đã ảnh hưởng tới 300.000 hệ thống router trên toàn thế giới bị tấn công và thay đổi cài đặt máy chủ phân giải tên miền (DNS). Trong đó khoảng 160.000 hệ thống router của Việt Nam bị tin tặc xâm nhập và kiểm soát.

Nguồn: http://www.pcworld.idg.com.au/article/539683/attack_campaign_compromises_300_000_home_routers_alters_dns_settings/

Phân tích lỗ hổng trong ZynOS

Lỗ hổng nằm trong chức năng lưu file cấu hình của hệ thống modem router. cụ thể là khi người dùng đăng nhập vào hệ thống quản lý của modem sẽ có chức năng lưu lại tập tin cấu hình đã thiết lập (ROMFILE SAVE). Tuy nhiên, một vấn đề rất nghiêm trọng là đường dẫn để download tập tin cấu hình này: “http://<địa chỉ IP>/rom-0″ lại không được bảo vệ bằng mật khẩu hay các chứng chỉ hợp lệ. Kẻ tấn công chỉ cần truy cập trực tiếp vào đường dẫn này và tải về tập tin cấu hình và tất nhiên mật khẩu cũng được lưu trữ trong tập tin cấu hình này.

Tác giả của lỗ hổng này đã công khai một công cụ kiểm tra lỗ hổng trên Github để minh chứng cho khả năng khai thác của lỗ hổng. Công cụ này hoạt động trên nguyên tắc rất đơn giản, công cụ sẽ quét một dải mạng trên diện rộng và thử tất cả với đường dẫn “http://<địa chỉ IP>/rom-0” nếu kết quả trả về là một tập tin thì sẽ tiếp tục giải mã để tìm mật khẩu đăng nhập. Khi đã có được mật khẩu công cụ sẽ tự động telnet đến cổng 23 (mặc định) và thay đổi thiết lập DNS.

Sau khi đã lấy được mật khẩu lại bằng chính phương pháp mà hacker đã khai thác chúng tôi phát hiện đúng là địa chỉ DNS của modem đã bị kẻ tấn công xâm nhập và thay đổi.

VCCorp có thể cũng đã bị tấn công theo cách này

Trong một bài viết trên báo vietnamnet, VCCorp cho rằng “Khi truy cập vào website của hãng Adobe để download phần mềm này, người dùng Internet trong nước có thể được điều hướng sang hệ thống của các ISP và bằng cách nào đó, những kẻ tấn công đã tráo dổi được các file Flash Player của hãng Adobe thành các phần mềm đã bị cài lén virus gián điệp vào để người dùng download về và cài đặt”.

Theo kịch bản có thể đây chính là nguyên nhân mà kẻ tấn công có thể cài đặt phần mềm độc hại lên máy tính người dùng thông qua các bản cập nhật giả mạo thông qua việc tạo một trang cập nhật có giao diện giống hệt với giao diện của Adobe và cấu hình cho hệ thống DNS trỏ tên miền vào máy chủ giả mạo này.

Địa chỉ DNS bị thay đổi

Preferred DNS server: Địa chỉ DNS giả mạo

Alternate DNS server: 8.8.8.8

Chúng ta thấy, địa chỉ DNS giả mạo được khai báo trước có độ ưu tiên cao hơn DNS thứ 2 của Google, DNS của google sẽ có tác dụng chỉ khi nào địa chỉ DNS giả mạo không có kết quả trả về.

Khắc phục, cập nhật firmware là chưa đủ

Tuy nhiên, sau khi cập nhật lên bản firmware mới nhất và đã đổi mật khẩu truy cập vào trang quản trị lỗi “rom-0” vẫn chưa thấy khắc phục. Cách xử lý tiếp theo mà chúng tôi thực hiện là tắt tất cả các truy cập từ bên ngoài đến modem, kể cả qua giao thức web, chúng tôi chỉ để đường telnet để truy cập về sau.

Kiểm tra lại vấn đề “rom-0” đã không còn truy cập được nữa vì truy cập qua đường web đã bị tắt.

Lỗ hổng ảnh  hưởng tới nhiều loại Modem TP-LINK

Ngoài TP-Link TD-8840T nhiều các mẫu router khác như TP-Link WR1043ND, TL-MR3020 và TL-WDR3600 cũng có thể bị xâm nhập. Nếu bạn đang dùng một modem TP-LINK bạn nên kiểm tra ngay bằng cách truy cập vào đường dẫn “http://<địa chỉ IP>/rom-0”, nếu kết quả như trên thì bạn nên thực hiện khắc phục ngay lỗ hổng này.

Từ vụ việc này chúng ta thấy có một số vấn đề cần được lưu ý như sau

• Chủ quan trong việc cập nhật bản vá, lỗ hổng cho cả các thiết bị phần cứng.
• Lơ là trong việc rà soát, kiểm tra thiết bị trước khi đưa đến người dùng, cần có các biện pháp kiểm tra, rà soát lỗ hổng, backdoor, mã độc… của các thiết bị trước khi nhập khẩu và đưa đến người dùng.
• Cấu hình an toàn cho thiết bị là một việc cần thiết.

Người trực tiếp thực hiện: Trần Quang Chiến và Hoàng Anh Thái tại SecurityDaily.