Bốn tháng sau khi một bản vá bảo mật cho các bộ định tuyến MikroTik được phát hành, một số người dùng của các thiết bị bỏ qua việc sửa chữa lỗ hổng này giờ đây đã trở thành những thợ mỏ không mong muốn của Monero.
Được biết đến như CVE-2018-14847 lỗ hổng bảo mật trong bộ định tuyến MikroTik đang được khai thác với quan điểm cài đặt kịch bản khai thác tiền điện tử Coinhive trong các trang web mà người dùng truy cập thiết bị. Theo các nhà nghiên cứu bảo mật mạng tại SpiderLabs, hàng chục ngàn router chưa được vá ở Brazil ban đầu bị ảnh hưởng mặc dù con số này đang tăng nhanh và lan rộng trên toàn cầu.
Our researcher @Simon_Kenin has discovered a massive #IoT #cryptojacking campaign affecting tens of thousands of unpatched @mikrotik_com routers in Brazil and going global. Read more here: https://t.co/SfIz7KKcnc
— SpiderLabs (@SpiderLabs) August 1, 2018
Nhà nghiên cứu của chúng tôi @Simon_Kenin đã phát hiện ra một chiến dịch mã hóa #IoT khổng lồ ảnh hưởng đến hàng chục nghìn bộ định tuyến @mikrotik_com chưa được vá ở Braxin và lan rộng toàn cầu.
Lỗ hổng trong bộ định tuyến Wi-Fi và Ethernet MikroTik cho phép bỏ qua xác thực của những kẻ tấn công từ xa, những người này sau đó có thể đọc và sửa đổi các tệp tùy ý. Nó được phát hiện vào tháng Tư năm nay và nhà sản xuất router đã phát hành một bản vá ngay sau đó.
Đã bắt đầu ở Braxin
Ban đầu, Coinhive đầu tiên được sử dụng trên 175.000 router chủ yếu ở Brazil nhưng một khóa mới của cùng một kịch bản khai thác đã được đưa vào bộ định tuyến và cho đến nay đã ảnh hưởng thêm 25.000 router ở quốc gia Đông Âu Moldova.
Ban đầu, các tập lệnh Coinhive đã được tiêm vào tất cả các trang web mà người dùng truy cập. Tuy nhiên, trong một nỗ lực để giảm khả năng phát hiện kẻ tấn công đã chuyển sang chỉ cài đặt các kịch bản khai phá tiền điện tử trong các trang lỗi tùy chỉnh. Các kỹ thuật khác đang được kẻ tấn công sử dụng để tránh bị phát hiện bao gồm việc phát hành các lệnh dọn dẹp sau khi khống chế các bộ định tuyến.
Số lượng lớn các bộ định tuyến MikroTik chưa từng có
Mặc dù chiến dịch cryptojacking chủ yếu nhắm mục tiêu đến Brazil, nhưng nó cũng đang lan rộng trên toàn cầu với khả năng xâm phạm nhiều bộ định tuyến MikroTik hơn. Người ta ước tính rằng một số lượng đáng kể các bộ định tuyến MikroTik trên toàn thế giới đã không được vá bốn tháng sau khi bản vá sửa chữa bảo mật được phát hành.
Simon Kenin, một nhà nghiên cứu bảo mật tại SpiderLabs, viết trong một bài đăng trên blog:
Có hàng trăm ngàn thiết bị trên toàn cầu, được sử dụng bởi các ISP và các tổ chức và doanh nghiệp khác nhau, mỗi thiết bị phục vụ ít nhất là hàng chục nếu không phải hàng trăm người dùng hàng ngày.
Ngoài ra, cuộc tấn công hoạt động theo cả hai cách. Vì nó nhắm vào các bộ định tuyến MikroTik dễ bị tấn công nên nó cũng ảnh hưởng đến các trang web được lưu trữ trên máy chủ sử dụng các thiết bị bị xâm nhập và do đó người dùng không kết nối trực tiếp với thiết bị bị nhiễm từ bất kỳ đâu cũng dễ bị tổn thương.
Kenin lưu ý:
Như đã đề cập, các máy chủ được kết nối với các bộ định tuyến bị nhiễm cũng sẽ trả về một trang lỗi với Coinhive cho người dùng đang truy cập các máy chủ đó, bất kể họ truy cập internet ở đâu.
Nguồn CCN
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
