Phần mềm độc hại tận dụng Shellshock để tấn công thiết bị nhúng

Các cuộc tấn công khai thác lỗ hổng Shellshock trong Bash Unix (đã được vá gần đây) phát tán một chương trình phần mềm độc hại cố gắng xâm nhập các hệ thống chạy BusyBox. Một “bộ sưu tập” các tiện ích Unix thường được sử dụng trên các thiết bị nhúng như các bộ định tuyến.

Phần mềm độc hại dạng backdoor được các nhà nghiên cứu bảo mật từ Trend Micro gọi là Bashlite và nó lây nhiễm các hệ thống dựa trên Linux bằng cách tận dụng các lỗ hổng Shellshock.

Vào tháng chín, các nhà nghiên cứu tìm thấy một số lỗ hổng bảo mật có liên quan trong Bash cho phép thực thi mã từ xa. Những lỗ hổng bảo mật này, được gọi chung là Shellshock, có thể được khai thác thông qua các script CGI chạy trên máy chủ Web, các hệ thống in ấn CUPS cho hệ điều hành giống như Unix, Secure Shell (SSH), OpenVPN, máy chủ SMTP và các dịch vụ khác.

Sau khi lây nhiễm vào hệ thống, phần mềm độc hại Bashlite quét mạng để tìm các địa chỉ chấp nhận các kết nối Telnet và cố gắng đăng nhập bằng tên người dùng với mật khẩu thường dùng như: root, admin, support, 12345, 123456, pass, password và toor. Sau đó đưa ra một loạt các lệnh để xác định xem hệ thống có chạy BusyBox không và sử dụng nó để tải về hai script từ xa gọi là bin.sh và bin2.sh.

“Các thiết bị chạy trên BusyBox có thể bị ảnh hưởng bởi Bashlite”, các nhà nghiên cứu cho biết. “Như vậy, một kẻ tấn công từ xa có thể ra lệnh hoặc tải tập tin khác trên các thiết bị từ đó gây hại đến an ninh của các thiết bị này”.

Ngoài ra để quét và xâm nhập các hệ thống chạy BusyBox, phần mềm độc hại Bashlite được thiết kế để khởi động tấn công từ chối dịch vụ.

Pcworld