Hàng triệu router dính lỗ hổng bảo mật RomPager
- Thongtincongnghe
- /
- 29.12.2014
- /
- 22502
Các chuyên gia bảo mật tại Check Point Software Technologies vừa phát hiện một lỗ hổng nghiêm trọng liên quan đến tính năng máy chủ dịch vụ Web dạng nhúng (embedded web server) được sử dụng trong nhiều router của các nhà sản xuất khác nhau, cho phép kẻ tấn công điều khiển từ xa các thiết bị mạng thông qua Internet.
Theo đó, một router dính lỗ hổng bảo mật này có thể tạo ra nhiều tác động đến sự an toàn của mạng gia đình và doanh nghiệp bởi lỗ hổng bảo mật vừa được phát hiện về cơ bản cho phép kẻ tấn công kiểm soát được lưu lượng ra/vào của router và thậm chí tạo cho chính họ một chỗ đứng ngay bên trong mạng để từ đó làm bàn đạp tấn công các hệ thống khác.
Từ đó, hacker cũng có thể khai thác lỗ hổng SSL (Secure Sockets Layer) và chiếm quyền điều khiển DNS (Domain Name System).
Web server nhúng RomPager do công ty phần mềm Allegro phát triển và được bán cho các nhà sản xuất chipset đưa vào SDK (bộ phát triển phần mềm). Tiếp theo, các nhà cung cấp router sử dụng bộ SDK này để phát triển phần mềm cho sản phẩm của mình.
Lỗ hổng này đã được mệnh danh là Misfortune Cookie và có thể bị hacker khai thác bằng cách gửi một yêu cầu đặc biệt đến Web server RomPager.
“Kẻ tấn công có thể gửi các tập tin cookie HTTP thiết kế đặc biệt để khai thác lỗ hổng, thay đổi bộ nhớ và sửa đổi trạng thái các ứng dụng và hệ thống”, chuyên gia bảo mật tại Check Point cho biết, “Kết quả là với ngón lừa này, hacker đã nắm được quyền quản trị thiết bị”.
Lỗ hổng có thể bị kẻ tấn công từ xa khai thác ngay cả khi thiết bị không được cấu hình để lộ giao diện quản trị web của nó trên Internet, làm cho lỗ hổng trở nên nguy hiểm hơn nhiều, theo nhận định của các chuyên gia Check Point.
Hacker có thể khai thác lỗ hổng này dễ dàng là bởi nhiều router, đặc biệt router do ISP cung cấp cho khách hàng, được cấu hình để đáp ứng yêu cầu kết nối trên cổng 7547 như một phần của giao thức quản lý từ xa TR-069 hoặc CWMP (Customer Premises Equipment WAN Management Protocol).
Cụ thể, ISP gửi một yêu cầu đến thiết bị của khách hàng trên cổng 7547 hoặc một cổng khác được cấu hình trước, khi họ muốn các thiết bị đó kết nối trở lại máy chủ Auto Configuration Servers (ACS) của họ. ISP sử dụng máy chủ ACS để cấu hình lại thiết bị của khách hàng nhằm theo dõi lỗi xảy ra hay dấu hiệu của mã độc, chạy chẩn đoán và nâng cấp firmware.
Yêu cầu TR-069 đầu tiên trên cổng 7547 được xử lý bởi web server nhúng của router mà trong nhiều trường hợp là RomPager, và có thể được sử dụng để khai thác lỗ hổng Misfortune Cookie cho dù giao diện quản lý được cấu hình để truy cập từ Internet hay không, chuyên gia bảo mật tại Check Point giải thích.
Cũng theo Check Point, Misfortune Cookie về bản chất không phải là một lỗ hổng liên quan đến TR-069/CWMP. Misfortune Cookie ảnh hưởng đến bất kỳ các dịch vụ nào sử dụng phiên bản cũ của mã phân tích HTTP của RomPager trên cổng 80, 8080, 443, 7547, và những cổng khác.
Nhiều người có thể chưa bao giờ nghe về RomPager, nhưng đây là một trong những phần mềm web server được sử dụng rộng rãi nhất trên thế giới. RomPager được triển khai trên địa chỉ IP cụ thể nhiều hơn so với Apache, cũng là một web server phổ biến. Số liệu thống kê cho biết RomPager đang có trong hơn 75 triệu thiết bị trên toàn thế giới.
Lỗ hổng Misfortune Cookie chỉ tồn tại trong RomPager phiên bản cũ hơn 4.34 và trên thực tế từng được phát hiện và vá lỗi vào năm 2005. Tuy nhiên, nhiều router - có cả những thiết bị mới phát hành trong năm nay - vẫn còn dùng các phiên bản RomPager cũ trong firmware, đặc biệt là phiên bản RomPager 4.07.
Check Point đã xác định được khoảng 200 loại router từ các nhà sản xuất khác nhau bao gồm D-Link, Edimax, Huawei, TP-Link, ZTE và ZyXEL, có khả năng chứa lỗ hổng. Dựa trên việc quét Internet, Check Point đã phát hiện gần 12 triệu thiết bị ở 189 quốc gia có thể bị tấn công trực tiếp từ Internet thông qua lỗ hổng trên RomPager.
Check Point cho biết đã liên hệ với một số nhà sản xuất router có sản phẩm bị ảnh hưởng cũng như Allegro – nhà cung cấp RomPager - để thông báo về vụ việc.
Một số nhà sản xuất phản ứng ngay lập tức, xác nhận có vấn đề và bắt đầu thực hiện vá lỗi firmware, nhưng một số khác không phản hồi.
Thực tế sẽ không có nhiều người sử dụng có thể tự bảo vệ router của mình, cài đặt bản vá lỗi firmware nhằm chống lại các cuộc tấn công mạng. Do vậy các ISP sử dụng TR-069/CWMP để quản lý các thiết bị của khách hàng có thể sử dụng chính giao thức này để cài đặt bản firmware vá lỗi nhanh hơn.
Tin liên quan
Mã hóa là gì?
Mã hóa giúp bảo mật dữ liệu cá nhân của bạn khỏi những con mắt tò mò. Đây là một giải thích cơ bản về cách nó hoạt động của nó.
Chi tiết...6 ứng dụng cốt lõi này sẽ thay đổi trong Windows 11
Hầu hết các ứng dụng Windows chỉ đơn giản là được cập nhật để trông giống như Windows 11. Nhưng một số cũng nhận được các tính năng mới.
Chi tiết...Bảo mật IoT của bạn: Tại sao tấn công thông minh và phát hiện mối đe dọa nội gián là chìa khóa
Điều gì khiến các chuyên gia an ninh mạng thức đêm? Đó luôn là một câu hỏi chưa có lời giải đáp, nhưng gần đây tôi nghĩ rằng có một thứ thực sự có thể giúp bạn yên tâm trong giấc ngủ của mình đó là Internet Vạn Vật (IoT). IoT có thể đưa ra một số thách thức đáng ghờm đối với các chuyên gia bảo mật thông tin.
Chi tiết...Mọi điều cần biết về Windows 10 S
Đầu tháng 5, MiWindows 10 S có đặc điểm nổi bật là không đòi hỏi nhiều về cấu hình phần cứng, tạo điều kiện thuận lợi cho mọi học sinh có được chiếc máy tính Windows đầy đủ chức năng phục vụ học tập.
Chi tiết...Google và cơ hội từ dịch vụ lưu trữ không giới hạn Nearline Storage
Hồi giữa tháng 3/2015, Google giới thiệu dịch vụ lưu trữ trực tuyến Nearline, thích hợp để lưu dữ liệu khổng lồ, dạng không thể xóa được, mà lưu trên máy tính hay ổ cứng gắn ngoài cũng không xong.
Chi tiết...Bên cạnh Facebook, Amazon chính là đối thủ mới đáng gờm nhất của Google trong ngành quảng cáo
Trong nhiều năm, các nhà tiếp thị và những người trong ngành đã dự đoán rằng Amazon sẽ trở thành một “thế lực thứ ba” trong ngành quảng cáo.
Chi tiết...