Một chiến dịch tấn công tinh vi nhắm vào các bộ định tuyến Asus, được đặt tên là AyySSHush, đã được nhóm nghiên cứu bảo mật GreyNoise phát hiện vào giữa tháng 3 và công bố vào ngày 28/5. Phương thức tấn công này kết hợp nhiều kỹ thuật, bao gồm dò tìm thông tin đăng nhập bằng phương pháp vét cạn (brute-force), bỏ qua quy trình xác thực thông thường và khai thác các lỗ hổng bảo mật đã biết. Các mẫu bộ định tuyến Asus bị ảnh hưởng bao gồm RT-AC3100, RT-AC3200 và RT-AX55.
Tấn công vét cạn là một kỹ thuật phổ biến, trong đó kẻ tấn công sử dụng phần mềm để thử hàng loạt các chuỗi ký tự khác nhau cho đến khi tìm ra mật khẩu hoặc khóa bảo mật chính xác để truy cập trái phép vào tài khoản hoặc hệ thống. Phương pháp này đặc biệt nguy hiểm nếu hệ thống không có các biện pháp bảo vệ như giới hạn số lần đăng nhập sai hoặc sử dụng xác thực hai yếu tố.
Trong trường hợp của Asus, kẻ tấn công đã khai thác lỗ hổng CVE-2023-39780, một điểm yếu bảo mật đã được phát hiện trước đó trong các bộ định tuyến này. Lỗ hổng này cho phép kẻ tấn công thêm khóa công khai SSH của riêng chúng vào hệ thống. Điều này cho phép Daemon SSH, một tiến trình chạy ngầm trên máy chủ để lắng nghe và xử lý các yêu cầu kết nối SSH từ các thiết bị khách, hoạt động trên cổng TCP 53282. Những thay đổi này tạo ra một “cửa hậu” (backdoor), cho phép kẻ tấn công duy trì quyền truy cập vào bộ định tuyến ngay cả sau khi người dùng khởi động lại thiết bị hoặc cập nhật chương trình cơ sở.
Theo GreyNoise, do khóa SSH được thêm vào thông qua một chức năng chính thức của bộ định tuyến Asus, các thay đổi cấu hình này vẫn được giữ nguyên sau các lần nâng cấp phần mềm hoặc bản vá bảo mật. Điều này có nghĩa là việc cập nhật phần mềm thông thường không thể loại bỏ hoàn toàn “cửa hậu” SSH đã được tạo ra.
Một yếu tố khiến các cuộc tấn công này khó bị phát hiện là chúng không liên quan đến việc cài đặt phần mềm độc hại. Thêm vào đó, kẻ tấn công đã tắt chức năng ghi nhật ký (logging) trên bộ định tuyến, khiến người dùng khó nhận biết được các hoạt động đáng ngờ. GreyNoise ước tính rằng khoảng 9.000 bộ định tuyến Asus đã bị nhiễm mã độc theo cách này.
Mục tiêu cuối cùng của chiến dịch AyySSHush vẫn chưa được xác định rõ ràng. GreyNoise cảnh báo rằng có khả năng kẻ tấn công đang bí mật xây dựng một mạng lưới các bộ định tuyến bị xâm nhập để tạo nền tảng cho một mạng botnet trong tương lai, có thể được sử dụng cho các mục đích tấn công mạng khác.
Trước đó, nhóm nghiên cứu bảo mật Sekoia của Pháp cũng đã phát hiện một chiến dịch tấn công khác có tên Vicious Trap, nhắm vào các bộ định tuyến Asus thông qua một lỗ hổng khác, CVE-2021-32030.
Asus cho biết họ đã nhận được cảnh báo từ GreyNoise từ tháng 3 và đã phát hành bản cập nhật để khắc phục lỗ hổng CVE-2023-39780 cho các bộ định tuyến bị ảnh hưởng. Tuy nhiên, thời gian triển khai bản cập nhật có thể khác nhau tùy theo từng mẫu máy. Các chuyên gia bảo mật khuyến cáo người dùng nên khôi phục cài đặt gốc cho bộ định tuyến nếu nghi ngờ bị tấn công, sau đó cấu hình lại thiết bị bằng mật khẩu mạnh trong khi chờ đợi bản cập nhật chính thức.
Admin
Nguồn: VnExpress
