Hoàng Anh
Writer
Mạng botnet mới có tên AyySSHush được phát hiện đang nhắm mục tiêu vào hàng nghìn router Asus bằng cách kết hợp tấn công "vét cạn" và khai thác lỗ hổng cũ (CVE-2023-39780). Ngay cả khi khởi động lại hay cập nhật firmware, "cửa hậu" vẫn tồn tại.
Hàng nghìn router Asus "dính" lỗ hổng, hacker âm thầm xây dựng botnet
Một mạng botnet mới có tên AyySSHush vừa được các chuyên gia bảo mật phát hiện đang nhắm mục tiêu vào hàng nghìn bộ định tuyến (router) của Asus, cho phép kẻ tấn công có thể truy cập và kiểm soát hoàn toàn các thiết bị này từ xa. Thông tin này được nhóm nghiên cứu bảo mật GreyNoise phát hiện từ giữa tháng 3 và chính thức công bố vào ngày 28 tháng 5 vừa qua, dấy lên những lo ngại nghiêm trọng về an toàn thông tin cho người dùng các sản phẩm của Asus.
Theo GreyNoise, những kẻ đứng sau AyySSHush đã kết hợp nhiều phương thức tấn công tinh vi, bao gồm việc sử dụng thông tin đăng nhập bằng phương pháp tấn công vét cạn (brute-force), bỏ qua các cơ chế xác thực và khai thác các lỗ hổng bảo mật cũ đã được biết đến. Mục tiêu cuối cùng của chúng là xâm nhập và chiếm quyền kiểm soát các bộ định tuyến Asus. Các mẫu router bị ảnh hưởng được xác định bao gồm RT-AC3100, RT-AC3200 và RT-AX55.
Tấn công vét cạn (brute-force) là một phương pháp mà hacker sử dụng các công cụ tự động để thử liên tục các chuỗi ký tự khác nhau cho đến khi tìm ra đúng mật khẩu hoặc khóa bảo mật, từ đó truy cập được vào tài khoản hoặc hệ thống. Đây là một hình thức tấn công tuy đơn giản về mặt kỹ thuật nhưng lại cực kỳ nguy hiểm nếu hệ thống không có các biện pháp bảo vệ hiệu quả như giới hạn số lần đăng nhập sai liên tiếp hoặc yêu cầu xác thực hai yếu tố.
Khai thác lỗ hổng CVE-2023-39780 để tạo "cửa hậu" vĩnh viễn
Trong vụ tấn công nhắm vào router Asus, kẻ tấn công đã khai thác một lỗ hổng bảo mật trên bộ định tuyến được phát hiện trước đó là CVE-2023-39780. Lỗ hổng này cho phép chúng thêm khóa công khai SSH (Secure Shell) của riêng mình vào thiết bị. Việc này kích hoạt Daemon SSH – một tiến trình nền chạy trên máy chủ router, có nhiệm vụ lắng nghe và xử lý các yêu cầu kết nối SSH từ các thiết bị khách – trên cổng TCP 53282.
Những sửa đổi này cho phép kẻ tấn công duy trì quyền truy cập "cửa hậu" (backdoor) vào bộ định tuyến một cách bền bỉ, ngay cả khi người dùng khởi động lại thiết bị hoặc cập nhật chương trình cơ sở (firmware). "Vì khóa SSH được thêm vào thông qua một chức năng chính thức được trang bị trên bộ định tuyến Asus, các thay đổi cấu hình này vẫn luôn được duy trì ngay cả trong những lần nâng cấp phần mềm hay các bản vá lỗi. Do đó, cách này không thể xóa được cửa hậu SSH mà hacker đã tạo ra," đại diện GreyNoise giải thích.
Tấn công âm thầm và quy mô lây nhiễm đáng báo động
Cũng theo GreyNoise, các cuộc tấn công của AyySSHush diễn ra một cách rất bí mật vì chúng không liên quan đến việc cài đặt các phần mềm độc hại (malware) truyền thống. Trong khi đó, người dùng rất khó phát hiện ra sự xâm nhập này do hacker thường tắt các chức năng ghi nhật ký (logging) trên router. Nhóm bảo mật này đã ghi nhận có khoảng 9.000 bộ định tuyến Asus bị lây nhiễm và trở thành một phần của mạng lưới này.
Mục tiêu tấn công cuối cùng của mạng botnet AyySSHush hiện vẫn chưa được làm rõ hoàn toàn. Tuy nhiên, GreyNoise cảnh báo rằng các hacker có thể đang âm thầm "xây dựng một mạng lưới các bộ định tuyến đã bị cài đặt cửa hậu để tạo nền tảng cho một mạng botnet lớn hơn trong tương lai", có thể được sử dụng cho các cuộc tấn công DDoS quy mô lớn, phát tán thư rác hoặc các hoạt động tội phạm mạng khác.
Trước đó, nhóm nghiên cứu bảo mật Sekoia của Pháp cũng đã phát hiện một chiến dịch tấn công khác của hacker có tên Vicious Trap, cũng nhắm vào các bộ định tuyến Asus thông qua một lỗ hổng khác là CVE-2021-32030.
Phản hồi từ Asus và khuyến nghị cho người dùng
Asus cho biết họ đã ghi nhận cảnh báo từ GreyNoise từ tháng 3 và vừa phát hành bản cập nhật firmware để khắc phục lỗ hổng CVE-2023-39780 cho các dòng bộ định tuyến bị ảnh hưởng. Tuy nhiên, thời gian triển khai bản cập nhật này có thể khác nhau tùy theo từng mẫu máy cụ thể.
Các chuyên gia bảo mật khuyến cáo người dùng các mẫu router Asus nói trên nên khôi phục cài đặt gốc (factory reset) cho bộ định tuyến của mình nếu nghi ngờ thiết bị đã bị xâm nhập. Sau đó, người dùng cần cấu hình lại thiết bị từ đầu, sử dụng mật khẩu quản trị mạnh và duy nhất, đồng thời thường xuyên kiểm tra và cài đặt các bản cập nhật firmware mới nhất từ Asus trong thời gian chờ đợi bản vá chính thức được triển khai rộng rãi.
Hàng nghìn router Asus "dính" lỗ hổng, hacker âm thầm xây dựng botnet
Một mạng botnet mới có tên AyySSHush vừa được các chuyên gia bảo mật phát hiện đang nhắm mục tiêu vào hàng nghìn bộ định tuyến (router) của Asus, cho phép kẻ tấn công có thể truy cập và kiểm soát hoàn toàn các thiết bị này từ xa. Thông tin này được nhóm nghiên cứu bảo mật GreyNoise phát hiện từ giữa tháng 3 và chính thức công bố vào ngày 28 tháng 5 vừa qua, dấy lên những lo ngại nghiêm trọng về an toàn thông tin cho người dùng các sản phẩm của Asus.
Theo GreyNoise, những kẻ đứng sau AyySSHush đã kết hợp nhiều phương thức tấn công tinh vi, bao gồm việc sử dụng thông tin đăng nhập bằng phương pháp tấn công vét cạn (brute-force), bỏ qua các cơ chế xác thực và khai thác các lỗ hổng bảo mật cũ đã được biết đến. Mục tiêu cuối cùng của chúng là xâm nhập và chiếm quyền kiểm soát các bộ định tuyến Asus. Các mẫu router bị ảnh hưởng được xác định bao gồm RT-AC3100, RT-AC3200 và RT-AX55.
Tấn công vét cạn (brute-force) là một phương pháp mà hacker sử dụng các công cụ tự động để thử liên tục các chuỗi ký tự khác nhau cho đến khi tìm ra đúng mật khẩu hoặc khóa bảo mật, từ đó truy cập được vào tài khoản hoặc hệ thống. Đây là một hình thức tấn công tuy đơn giản về mặt kỹ thuật nhưng lại cực kỳ nguy hiểm nếu hệ thống không có các biện pháp bảo vệ hiệu quả như giới hạn số lần đăng nhập sai liên tiếp hoặc yêu cầu xác thực hai yếu tố.
Trong vụ tấn công nhắm vào router Asus, kẻ tấn công đã khai thác một lỗ hổng bảo mật trên bộ định tuyến được phát hiện trước đó là CVE-2023-39780. Lỗ hổng này cho phép chúng thêm khóa công khai SSH (Secure Shell) của riêng mình vào thiết bị. Việc này kích hoạt Daemon SSH – một tiến trình nền chạy trên máy chủ router, có nhiệm vụ lắng nghe và xử lý các yêu cầu kết nối SSH từ các thiết bị khách – trên cổng TCP 53282.
Những sửa đổi này cho phép kẻ tấn công duy trì quyền truy cập "cửa hậu" (backdoor) vào bộ định tuyến một cách bền bỉ, ngay cả khi người dùng khởi động lại thiết bị hoặc cập nhật chương trình cơ sở (firmware). "Vì khóa SSH được thêm vào thông qua một chức năng chính thức được trang bị trên bộ định tuyến Asus, các thay đổi cấu hình này vẫn luôn được duy trì ngay cả trong những lần nâng cấp phần mềm hay các bản vá lỗi. Do đó, cách này không thể xóa được cửa hậu SSH mà hacker đã tạo ra," đại diện GreyNoise giải thích.
Tấn công âm thầm và quy mô lây nhiễm đáng báo động
Cũng theo GreyNoise, các cuộc tấn công của AyySSHush diễn ra một cách rất bí mật vì chúng không liên quan đến việc cài đặt các phần mềm độc hại (malware) truyền thống. Trong khi đó, người dùng rất khó phát hiện ra sự xâm nhập này do hacker thường tắt các chức năng ghi nhật ký (logging) trên router. Nhóm bảo mật này đã ghi nhận có khoảng 9.000 bộ định tuyến Asus bị lây nhiễm và trở thành một phần của mạng lưới này.
Mục tiêu tấn công cuối cùng của mạng botnet AyySSHush hiện vẫn chưa được làm rõ hoàn toàn. Tuy nhiên, GreyNoise cảnh báo rằng các hacker có thể đang âm thầm "xây dựng một mạng lưới các bộ định tuyến đã bị cài đặt cửa hậu để tạo nền tảng cho một mạng botnet lớn hơn trong tương lai", có thể được sử dụng cho các cuộc tấn công DDoS quy mô lớn, phát tán thư rác hoặc các hoạt động tội phạm mạng khác.
Trước đó, nhóm nghiên cứu bảo mật Sekoia của Pháp cũng đã phát hiện một chiến dịch tấn công khác của hacker có tên Vicious Trap, cũng nhắm vào các bộ định tuyến Asus thông qua một lỗ hổng khác là CVE-2021-32030.
Phản hồi từ Asus và khuyến nghị cho người dùng
Asus cho biết họ đã ghi nhận cảnh báo từ GreyNoise từ tháng 3 và vừa phát hành bản cập nhật firmware để khắc phục lỗ hổng CVE-2023-39780 cho các dòng bộ định tuyến bị ảnh hưởng. Tuy nhiên, thời gian triển khai bản cập nhật này có thể khác nhau tùy theo từng mẫu máy cụ thể.
Các chuyên gia bảo mật khuyến cáo người dùng các mẫu router Asus nói trên nên khôi phục cài đặt gốc (factory reset) cho bộ định tuyến của mình nếu nghi ngờ thiết bị đã bị xâm nhập. Sau đó, người dùng cần cấu hình lại thiết bị từ đầu, sử dụng mật khẩu quản trị mạnh và duy nhất, đồng thời thường xuyên kiểm tra và cài đặt các bản cập nhật firmware mới nhất từ Asus trong thời gian chờ đợi bản vá chính thức được triển khai rộng rãi.
