Lỗ hổng RCE nghiêm trọng trong 92.000 thiết bị NAS của D-Link đang bị khai thác

- Những kẻ tấn công hiện đang nhắm mục tiêu vào hơn 92.000 thiết bị D-Link Network Attached Storage (NAS) đã lỗi thời (end-of-life) bị lộ trực tuyến và chưa được vá lỗ hổng zero-day nghiêm trọng cho phép thực thi mã từ xa.

Lỗ hổng được đề cập có định danh CVE-2024-3273, phát sinh từ một backdoor được tạo thông qua một tài khoản hardcoded (được lưu trong mã nguồn) (có tên người dùng là "messagebus" và mật khẩu để trống) và một lỗi command injection thông qua tham số "system".

Các tác nhân đe dọa hiện đang kết hợp hai lỗ hổng này để triển khai một biến thể của phần mềm độc hại Mirai (skid.x86). Các biến thể Mirai thường được thiết kế để thêm các thiết bị bị lây nhiễm mã độc vào mạng botnet có thể được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn.

Theo phát hiện của công ty an ninh mạng GreyNoise và nền tảng giám sát mối đe dọa ShadowServer, các cuộc tấn công này đã bắt đầu vào thứ Hai. Hai tuần trước, nhà nghiên cứu bảo mật Netsecfish đã tiết lộ thông tin lỗ hổng này sau khi D-Link thông báo với họ rằng những thiết bị lỗi thời này hiện không còn được cung cấp bản vá bảo mật. Netsecfish cho biết rằng: “Lỗ hổng này ảnh hưởng đến nhiều thiết bị NAS D-Link, bao gồm các mẫu DNS-340L, DNS-320L, DNS-327L và DNS-325,...”.

Ảnh minh họa

“Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống, tiềm ẩn nguy cơ dẫn đến việc truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống hoặc gây ảnh hưởng đến hoạt động của hệ thống”.

Người phát ngôn của D-Link cho biết: “Tất cả thiết bị NAS D-Link lỗi thời đã không còn được hỗ trợ trong nhiều năm và các tài nguyên liên quan đến các sản phẩm này đã ngừng phát triển và không còn được hỗ trợ nữa”. "D-Link khuyến nghị người dùng nên ngừng sử dụng các sản phẩm này và thay thế chúng bằng các sản phẩm vẫn còn nhận được bản cập nhật firmware".

Người phát ngôn cho biết thêm rằng các thiết bị NAS này không có khả năng cập nhật trực tuyến hoặc gửi cảnh báo tự động, do đó không thể thông báo cho chủ sở hữu về các cuộc tấn công đang diễn ra này.

Sau khi tiết lộ, D-Link đã đưa ra khuyến nghị bảo mật để cảnh báo cho chủ sở hữu về lỗ hổng và khuyên họ ngừng sử dụng hoặc thay thế các thiết bị bị ảnh hưởng càng sớm càng tốt. Các thiết bị NAS không nên được đặt trực tuyến vì chúng thường là mục tiêu trong các cuộc tấn công bằng ransomware nhằm đánh cắp hoặc mã hóa dữ liệu.

Trong những tháng gần đây, các thiết bị D-Link khác (bao gồm những thiết bị đã lỗi thời) đã bị một số tác nhân đe dọa đứng sau botnet DDoS dựa trên Mirai nhắm đến.

Để giảm thiểu nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật bản vá cho các thiết bị cũng như nâng cấp/thay thế các thiết bị hiện đã lỗi thời, thiết lập hạn chế truy cập nghiêm ngặt đến các thiết bị; đồng thời triển khai thêm các biện pháp bảo vệ bổ sung như tường lửa, IDPS để tăng cường bảo mật cho hệ thống, thiết bị của bạn.

PV (theo bleepingcomputer.com/tinhiemmang.vn)