135 triệu thiết bị Modem dễ bị chiếm quyền điều khiển từ xa

135-trieu-thiet-bi-modem-de-bi-chiem-quyen-tu-xa-logoCó khoảng 135 triệu thiết bị modem SURFboard 6141 của hãng ARRIS đang đối mặt với khả năng bị chiếm quyền điều khiển từ xa do thiết bị không yêu cầu xác thực mật khẩu.

 

 

Với việc không yêu cầu xác thực mật khẩu trên thiết bị sẽ gây ra một lỗ hổng nghiêm trọng và có thể bị khai thác từ xa nhằm gián đoạn dịch vụ truy cập Internet.

Được biết, Modem SURFboard 6141 là một trong những thiết bị phổ biến và sử dụng rộng rãi nhất cho hàng triệu hộ gia đình sống tại Mỹ. Theo nghiên cứu của nhà bảo mật David Longenecker , thiết bị dễ dàng có thể bị kẻ tấn công khởi động lại do không được xác thực. Việc không được xác thực này sẽ được tấn công trong hệ thống mạng nội bộ bằng cách truy cập địa chỉ IP Gateway của thiết bị là 192.168.100.1 mà không phải nhập username/password. Sau đó , sẽ truy cập vào trang cấu hình của thiết bị và tiến hành khởi động lại thiết bị . Điều này giống như cuộc tấn công từ chối dịch vụ DOS.

135-trieu-thiet-bi-modem-de-bi-chiem-quyen-tu-xa-01

Việc khởi động lại thiết bị chỉ gây gián đoạn mạng 2,3 phút và có thể chấp nhận được. Tuy nhiên, việc truy cập được trang quản trị , kẻ tấn công sẽ có thể thay đổi được các thông số cấu hình hoặc thiệt lập lại chế độ Factory Default, gây ra tình trạng mất mạng trong ít nhất 30′ để được cấu hình lại hoặc có sự can thiệp của nhà cung cấp Internet (ISP) để kích hoạt lại modem

Cách thức thực hiện cuộc tấn công từ xa :

Nhà nghiên cứu bảo mật David tiết lộ rằng : Kẻ tấn công cũng có thể thực hiện việc khởi động lại thiết bị từ xa! Đó là đưa các ứng dụng chưa được xác minh có gán câu lệnh khởi động hoặc thiết lập lại modem đến người dùng

Ngoài ra, việc sử dụng kĩ thuật tấn công giả mạo CSRF ( Cross Site Request Forgery ) cho phép kẻ tấn công lừa người dùng kích vào trang web hoặc hay địa chỉ email có chứa các đường dẫn thực thi vào của thiết bị như :

http://192.168.100.1/reset.htm

http://192.168.100.1/cmConfigData.htm?BUTTON_INPUT1=Reset+All+Defaults (for factory reset)

Đối với website , các đường dẫn thực thi này sẽ được đặt trong bức ảnh nào đó có gán thêm src cho ảnh :

VD : <img src=”http://malicious_url/”>

Và khi người dùng kích vào bức ảnh thì lập tức sẽ bị chuyển ngay đến các đường dẫn thực thi này mà không bị yêu cầu phải xác thực mật khẩu.

Vậy đâu là giải pháp ?

Theo các chuyên gia bảo mật, lỗi trên có thể khắc phục bằng cách đưa ra bản cập nhật firmware, trong đó yêu cầu xác thực trước khi người dùng khởi động lại hoặc đặt lại modem.

Còn bên phía nhà sản xuất thiết bị. Họ cũng đã cho ra một bản cập nhật firmware cho người sử dụng. Tuy nhiên, việc cập nhật firmware của thiết bị sẽ cần phải có sự thực hiện của nhà cung cấp dịch vụ (ISP) đến khách hàng của mình nhằm đảm bảo được cập nhật đẩy đủ và chính xác.

Nguồn : THN

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.