Sâu máy tính tấn công lỗ hổng bộ định tuyến Linksys, Asus

09:23 | 03/03/2014

Ngày 17/2, một loại sâu máy tính (worm) khai thác lỗ hổng bảo mật trong một số bộ định tuyến đã được các chuyên viên nghiên cứu bảo mật tại Học viện SANS Internet Storm Center khám phá và đặt tên TheMoon.


Bộ định tuyến (router) Linksys mắc lỗi khiến người dùng đối mặt nguy cơ bị mã độc đánh cắp dữ liệu khi sử dụng mạng 
Thông tin ban đầu từ SANS ISC cho thấy lỗi bảo mật xuất phát từ trong một tập tin mã CGI thuộc giao diện quản trị của nhiều dòng sản phẩm router (bộ định tuyến) E-Series của Linksys. Để đảm bảo an toàn, nhóm nghiên cứu không công bố tên của tập tin CGI mang lỗi.
Theo ComputerWorld, danh sách router Linksys mang nguy cơ bảo mật trước mã độc TheMoon không chỉ có dòng E-Series mà cả N-Series. Cụ thể, các model sau: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N và WRT150N. Người khám phá lỗi cho biết trên Reddit, "danh sách có thể chưa chính xác hoặc chưa đầy đủ".
Đáng chú ý một số dòng router cũ như E1000 không còn được hỗ trợ từ nhà sản xuất nên sẽ không có bản vá lỗi cập nhật firmware.
Trước đó ngày 16/2, trên mạng Reddit, một tài khoản người dùng tuyên bố có đến bốn tập tin mã CGI mang lỗi. Kế đến, một hacker chuyên viết công cụ khai thác lỗi đã xác nhận hai trong số bốn tập tin trên có lỗi, và đồng thời công khai hướng khai thác.
Trước thông tin trên, Linksys đã xác nhận một vài sản phẩm router (bộ định tuyến) và access point (bộ khuếch tán sóng không dây) Wireless-N, và một số model cũ của router Linksys E-Series bị ảnh hưởng bởi lỗi nhưng không cho biết cụ thể model nào.
Theo giám đốc truyền thông Belkin (Belkin quản lý mảng kinh doanh thiết bị mạng gia đình Linksys từ Cisco vào ngày 24/1/2013) Karen Sohl đưa ra thông cáo qua email, "loại sâu (TheMoon) khai thác lỗi, vượt qua khâu chứng thực quyền quản trị thành công chỉ khi tính năng quản lý truy cập từ xa (Remote Management Access) được kích hoạt". Các sản phẩm này đều được Linksys mặc định tắt đi chức năng RMA khi bán ra thị trường.
Karen Sohl khuyến cáo người tiêu dùng có thể khóa (disable) chức năng quản lý kết nối từ xa và khởi động lại router để gỡ bỏ mã độc. Bản firmware khắc phục lỗi sẽ được phát hành trong thời gian tới trên website.
Linksys đăng tải phần hướng dẫn kỹ thuật trên website của mình nhằm giúp khách hàng có thể cài đặt firmware mới nhất và khóa chức năng quản lý truy cập từ xa trên những thiết bị trong nhóm mang nguy cơ bảo mật.
* Các router bị nhiễm TheMoon sẽ "thoát" khỏi mã độc này khi khởi động lại (restart / reset). Ngoài ra, các router đã cập nhật firmware phiên bản 2.0.06 cũng không bị ảnh hưởng bởi lỗi.
Router Asus và lời nhắn của hacker trên ổ cứng nạn nhân


Ảnh chụp màn hình thông điệp hacker để lại trên máy tính nạn nhân sau khi hack qua lỗi bảo mật từ router Asus
Nạn nhân nhận được một tập tin mang nội dung là lời nhắn cảnh báo của hacker để lại trong ổ cứng của mình, "Router Asus của bạn (và các tài liệu) có thể bị truy xuất bởi bất kỳ ai trên thế giới có kết nối Internet. Bạn cần bảo vệ chính mình, tham khảo tại...: (kèm liên kết dẫn đến thông tin về lỗi)".
Trước đó, một nhóm hacker đăng tải lên mạng Pastebin danh sách 13.000 địa chỉ IP dùng router Asus "phơi mình" trước lỗi. Kế đến, nhóm này đưa thêm một danh sách 10.000 tên các tập tin lưu trữ trên những ổ đĩa cứng hay ổ đĩa USB cắm vào router Asus.
Thực chất, một chuyên viên bảo mật mang tên Kyle Lovett đã công bố chi tiết lỗi này vào giữa năm 2013. Theo Lovette, các model router Asus bị ảnh hưởng bởi lỗi gồm: RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16, và RT-N16R.
Asus chỉ mới phát hành bản vá lỗi firmware 3.0.0.4.374.4422 cho ba model router gồm: RT-N66U (Ver.B1), RT-N66R và RT-N66W vào ngày 13/2/2014. Một số model khác cũng có bản firmware mới. Asus khuyến cáo người dùng tải và cài đặt bản firmware mới nhất qua website của mình.
Ngoài ra, giới bảo mật khuyến cáo người dùng nên thay đổi mật khẩu quản trị (admin) của router, tắt các chức năng quản trị truy cập từ xa, Cloud (dịch vụ đám mây), FTP… khi không cần dùng đến.

Asus đã có bản cập nhật khắc phục lỗi cho Asus RT-N66U (VER.B1) và các model router khác