Hàng trăm tổ chức đứng trước nguy hiểm từ lỗ hổng trên router DrayTek
Theo cảnh báo từ Forescout, hơn 300 tổ chức đã bị các nhóm ransomware tấn công bằng cách sử dụng các lỗ hổng mới trong các thiết bị DrayTek, bao gồm cả lỗ hổng zero-day chưa từng được phát hiện.
Mức độ ảnh hưởng
Vào tháng 10, Forescout đã công bố một tài liệu ghi lại 14 lỗi bảo mật trong các DrayTek Vigor router có khả năng ảnh hưởng đến hàng trăm nghìn thiết bị, nhiều thiết bị trong số đó thậm chí còn chưa được vá lỗ hổng xuất hiện từ vài năm trước.
Sau khi công bố nghiên cứu, công ty cho biết họ đã nhận được báo cáo từ Prodaft - một công ty cung cấp dịch vụ Threat Intelligence - cung cấp thông tin liên quan đến một chiến dịch khai thác nhắm mục tiêu vào hơn 20.000 thiết bị DrayTek để đánh cắp thông tin xác thực và triển khai phần mềm tống tiền.
Có ít nhất ba nhóm tấn công khác nhau đã tham gia vào chiến dịch này, trong khoảng thời gian từ tháng 8 đến tháng 9 năm 2023 và liên quan đến việc khai thác lỗi zero-day để thực hiện hành vi initial access.
Vai trò và mục tiêu của mỗi nhóm hacker
Chiến dịch này liên quan đến ba nhóm hacker riêng biệt – Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288) và LARVA-15 (Wazawaka) – những kẻ này tuân theo quy trình làm việc cụ thể được thể hiện trong hình ảnh bên dưới:
Hình 1. Vai trò và mục tiêu của mỗi nhóm tấn công
Danh sách các lỗ hổng đã bị khai thác
Chiến dịch này được cho rằng lợi dụng các lỗ hổng trong DrayTek router để thực hiện hành vi initial access, đặc biệt nhắm vào trang web mainfunction.cgi của WebUI. WebUI là giao diện quản trị trên trình duyệt được sử dụng để cấu hình DrayTek router và thường xuyên public trên internet, mặc dù nhà cung cấp đã hướng dẫn hạn chế quyền truy cập vào nó.
Ứng dụng web của DrayTek đã phải đối mặt với nhiều vấn đề bảo mật trong bốn năm qua với ít nhất 18 lỗ hổng cho phép Remote Code Execution (RCE). Danh sách CVE có thể kể đến:
CVE-2020-8515
CVE-2020-14472
CVE-2020-14993
CVE-2020-15415
CVE-2020-19664
CVE-2021-42911
CVE-2021-43118
CVE-2023-1162
CVE-2023-24229
Hầu hết các lỗi này đều có cùng nguyên nhân gốc rễ như các lỗ hổng đã được phát hiện trước đây và nó vẫn còn ảnh hưởng đến các thiết bị DrayTek sử dụng phiên bản phần mềm 1.5.3. Tuy nhiên, vẫn chưa rõ liệu phiên bản phần mềm 1.5.6, phiên bản mới nhất dành cho các thiết bị này, có khả năng bị tấn công hay không.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch này:
Giám sát mạng: Tăng cường giám sát lưu lượng mạng để phát hiện các hoạt động bất thường.
Quản lý thiết bị: Đảm bảo cấu hình thiết bị mạng phù hợp, thay đổi mật khẩu mặc định và vá lỗ hổng nhanh chóng.
Nhận thức bảo mật: Đào tạo nhân viên nhận biết các phương pháp tấn công và hành vi đáng ngờ.
Phân đoạn mạng: Tách biệt các thành phần mạng để giảm rủi ro lây lan khi bị tấn công.
