17/09/2018, 21:36

Nguy cơ bị tấn công khi sử dụng D-Link Wireless Router

Loại router model DSL không dây phổ biến từ D-Link vừa bị cáo buộc có tồn tại nhiều lỗ hổng phần mềm, cho phép tin tặc có khả năng thay đổi DNS (Domain Name System) từ xa cài đặt trên routers bị ảnh hưởng và chiếm quyền điều khiển của người sử dụng. Mục tiêu chính của việc tấn công DNS là ...

Dlink 

Loại router model DSL không dây phổ biến từ D-Link vừa bị cáo buộc có tồn tại nhiều lỗ hổng phần mềm, cho phép tin tặc có khả năng thay đổi DNS (Domain Name System) từ xa cài đặt trên routers bị ảnh hưởng và chiếm quyền điều khiển của người sử dụng. Mục tiêu chính của việc tấn công DNS là bí mật chuyển hướng truy cập của người dùng từ một website hợp pháp đến một trang độc hại mà tin tặc kiểm soát. Lỗ hổng cũng có thể ảnh hưởng đến các thiết bị khác vì cùng một vị trí, bộ định tuyến không dây được các nhà sản xuất phần mềm khác nhau sử dụng rộng rãi.

Nhà nghiên cứu an ninh Todor Donev đã phát hiện ra lỗ hổng tồn tại trong một firmware ZynOS của hãng ZyXEL Communications Corporation, được sử dụng trong phần cứng của mạng từ TP-Link Technologies, ZTE và D-Link. Theo các nhà nghiên cứu bảo mật, router không dây phổ biến DSL2740R D-Link và một số router D-Link khác, đặc biệt là DLS-320B có chứa lỗ hổng.

Cuối năm ngoái, lỗ hổng tương tự cũng được phát hiện trong bộ định tuyến của máy chủ web RomPager từ AllegroSoft, mà thường được nhúng vào trong firmware của router, modem và các thiết bị cổng khác của mỗi nhà sản xuất. Lỗ hổng khiến 12 triệu hộ gia đình và các bộ định tuyến văn phòng của nhiều nhà sản xuất khác nhau có nguy cơ cao bị tấn công DNS hijacking, bao gồm bộ kit từ D-Link, cùng với Edimax, Huawei, TP-Link, ZTE và ZyXEL.

Lỗi mới được phát hiện gần đây nhất trong các bộ định tuyến không dây chạy firmware có chứa lỗ hổng có thể tiết lộ các máy chủ web nội bộ của người dùng với Internet mở, và theo Donev, điều này có thể cho phép tin tặc tấn công vào cấu hình các thiết bị mà không cần xác thực truy cập vào giao diện quản trị của thiết bị.

Để khai thác lỗ hổng bộ định tuyến, một hacker sẽ phải truy cập mạng của router hoặc router không dây phải được công khai. Một khi giao diện chính tiếp xúc với Internet, nguy cơ bị tin tặc khai thác sẽ rất cao. Nhưng ngay cả khi bộ định tuyến không dây có thể truy cập trong mạng lưới khu vực, tin tặc vẫn có thể sử dụng Foot (CSRF) – một kỹ thuật liên quan đến việc tiếp cận với mạng lưới khu vực bằng cách gửi yêu cầu HTTP cụ thể cho một địa chỉ IP trong mạng LAN thường liên kết với các bộ định tuyến không dây.

Donev cho biết, một khi tin tặc thay đổi thành công các thiết lập DNS hệ thống, họ có thể thực hiện một số hoạt động độc hại, bao gồm:

  • Chuyển hướng người dùng đến các trang web độc hại– Những trang web này có thể dẫn nạn nhân tới một trang lừa đảo giả dạng như một trang web nổi tiếng để lừa người sử dụng tiết lộ thông tin cá nhân và các tài khoản của họ.
  • Thay thế các quảng cáo trên các trang web hợp pháp – Hacker có thể thao tác quảng cáo mà người dùng nhìn thấy, thay thế các quảng cáo hợp pháp với những quảng cáo nguy hiểm trên các trang web mà họ truy cập.
  • Kiểm soát và chuyển hướng lưu lượng truy cập mạng– Tin tặc cũng có thể ngăn chặn người dùng của hệ thống bị nhiễm trong việc nhận các bản cập nhật hệ điều hành quan trọng và các bản cập nhật phần mềm khác.
  • Tiêm nhiễm thêm nhiều malware – Những kẻ tấn công có thể trực tiếp đưa phần mềm độc hại vào hệ thống bị nhiễm.

Donev đã công bố các chi tiết của lỗ hổng D-Link router không dây nhưng không công khai các nhà cung cấp bị ảnh hưởng. Ông cũng đã chứng minh khái niệm khai thác cho sản phẩm D-Link DSL-2740R, một chức năng kép modem ADSL/ thiết bị router không dây. Hiện tại, thiết bị đặc biệt này đã bị ngưng bán nhưng vẫn tiếp tục được hỗ trợ.

Theo THN

0