Sau khi các router Linksys bị phát hiện có lỗ hổng bảo mật giúp kẻ tấn công chiếm quyền điều khiển, đến lượt 8 mẫu router của D-Link có ba lỗ hổng bảo mật thể giúp kẻ tấn công có toàn quyền kiểm soát router.
Thông tin này vừa được nhà nghiên cứu báo mật Błażej Adamczyk của trường đại học Công nghệ Silesian của Ba Lan thông báo. Ông cũng cung cấp một đoạn code trình diễn chứng minh việc tấn công có thể xảy ra như thế nào. Bạn có thể xem trong đoạn video bên dưới:
Mặc dù đây là ba lỗ hổng khác nhau, nhưng khi kết hợp cả ba lại thì kẻ tấn công có thể thực thi các đoạn code riêng trên các thiết bị này. Lỗ hổng đầu tiên được xác định là CVE-2018-10822. Đây là một lỗ hổng về khoảng trống bảo mật đường dẫn, phát sinh do sai sót trong việc sửa một lỗi được báo cáo vào năm ngoái. Lỗ hổng này cho phép kẻ tấn công có thể tiếp cận được folder chưa mật khẩu có chứa thông tin đăng nhập của tài khoản quản trị.
Từ lỗ hổng thứ nhất, kẻ tấn công có thể tận dụng lỗ hổng thứ hai CVE-2018-10824 để lấy được mật khẩu quản trị do mật khẩu được lưu trữ nguyên dạng, không có bất kỳ sự mã hóa dữ liệu nào. Chính lỗ hổng thứ hai này giúp kẻ tấn công có thể truy cập vào thư mục chứa mật khẩu và kiểm tra tệp cấu hình chứa thông tin nhạy cảm.
Cuối cùng là lỗ hổng thứ ba CVE-2018-10823. Đây là một lỗ hổng liên quan đến shell injection, cho phép kẻ tấn công đã xác thực (đăng nhập vào tài khoản quản trị của router) có thể thực thi code tùy ý trên thiết bị.
Theo giải thích của Błażej Adamczyk, kẻ tấn công đã xác thực có thể thực thi code tùy khi bằng cách inject shell vào tham số Sip của trang chkisg.htm. Khi đó, kẻ tấn công đã có toàn quyền kiểm soát các thiết bị từ bên trong.
Cả 8 router bị ảnh hưởng bởi ba lỗ hổng nói trên là model DWR-116, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, DWR-921, DWR-111. Đáng chú ý, mặc dù Błażej đã thông báo cho D-Link về các lỗ hổng bảo mật này từ hồi tháng 5 nhưng hãng phản hồi lại rằng họ chỉ tung bản vá cho hai model DWR-116 và DWR-111 mà thôi. Lý do là vì các mẫu router còn lại đã hết thời hạn hỗ trợ của D-Link. Điều này chắc chắn dẫn đến rủi ro rất lớn cho những người dùng nào đã lỡ đặt niềm tin vào các thiết bị router của hãng sản xuất này.
Nguy hiểm hơn, tác giả của báo cáo còn cho biết đoạn code trình diễn này đơn giản đến mức có thể được phân phối thông qua các quảng cáo nhúng mã độc. Bằng cách này, kẻ tấn công chỉ cần dụ người dùng truy xuất vào một trang web nào đó là đã có thể chiếm quyền kiểm soát thiết bị. Nếu bạn đang sử dụng các mẫu router DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, DWR-921, đây là lúc bạn nên đổi sang thiết bị khác hoặc hãng khác.
Theo Bleeping Computer