Những kẻ tấn công hiện đang nhắm mục tiêu vào hơn 92.000 thiết bị D-Link Network Attached Storage (NAS) đã lỗi thời (end-of-life) bị lộ trực tuyến và chưa được vá lỗ hổng zero-day nghiêm trọng cho phép thực thi mã từ xa.
Lỗ hổng được đề cập có định danh CVE-2024-3273, phát sinh từ một backdoor được tạo thông qua một tài khoản hardcoded (được lưu trong mã nguồn) (có tên người dùng là "messagebus" và mật khẩu để trống) và một lỗi command injection thông qua tham số "system".
Các tác nhân đe dọa hiện đang kết hợp hai lỗ hổng này để triển khai một biến thể của phần mềm độc hại Mirai (skid.x86). Các biến thể Mirai thường được thiết kế để thêm các thiết bị bị lây nhiễm mã độc vào mạng botnet có thể được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn.
Theo phát hiện của công ty an ninh mạng GreyNoise và nền tảng giám sát mối đe dọa ShadowServer, các cuộc tấn công này đã bắt đầu vào thứ Hai. Hai tuần trước, nhà nghiên cứu bảo mật Netsecfish đã tiết lộ thông tin lỗ hổng này sau khi D-Link thông báo với họ rằng những thiết bị lỗi thời này hiện không còn được cung cấp bản vá bảo mật.
Netsecfish cho biết rằng: “Lỗ hổng này ảnh hưởng đến nhiều thiết bị NAS D-Link, bao gồm các mẫu DNS-340L, DNS-320L, DNS-327L và DNS-325,...”.
“Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống, tiềm ẩn nguy cơ dẫn đến việc truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống hoặc gây ảnh hưởng đến hoạt động của hệ thống”.
Người phát ngôn của D-Link cho biết: “Tất cả thiết bị NAS D-Link lỗi thời đã không còn được hỗ trợ trong nhiều năm và các tài nguyên liên quan đến các sản phẩm này đã ngừng phát triển và không còn được hỗ trợ nữa”.
"D-Link khuyến nghị người dùng nên ngừng sử dụng các sản phẩm này và thay thế chúng bằng các sản phẩm vẫn còn nhận được bản cập nhật firmware".
Người phát ngôn cho biết thêm rằng các thiết bị NAS này không có khả năng cập nhật trực tuyến hoặc gửi cảnh báo tự động, do đó không thể thông báo cho chủ sở hữu về các cuộc tấn công đang diễn ra này.
Sau khi tiết lộ, D-Link đã đưa ra khuyến nghị bảo mật để cảnh báo cho chủ sở hữu về lỗ hổng và khuyên họ ngừng sử dụng hoặc thay thế các thiết bị bị ảnh hưởng càng sớm càng tốt.
Các thiết bị NAS không nên được đặt trực tuyến vì chúng thường là mục tiêu trong các cuộc tấn công bằng ransomware nhằm đánh cắp hoặc mã hóa dữ liệu.
Trong những tháng gần đây, các thiết bị D-Link khác (bao gồm những thiết bị đã lỗi thời) đã bị một số tác nhân đe dọa đứng sau botnet DDoS dựa trên Mirai nhắm đến.
Để giảm thiểu nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật bản vá cho các thiết bị cũng như nâng cấp/thay thế các thiết bị hiện đã lỗi thời, thiết lập hạn chế truy cập nghiêm ngặt đến các thiết bị; đồng thời triển khai thêm các biện pháp bảo vệ bổ sung như tường lửa, IDPS để tăng cường bảo mật cho hệ thống, thiết bị của bạn.
Nguồn: bleepingcomputer.com
Các tác nhân đe dọa đang khai thác một lỗ hổng nghiêm trọng trong Magento để cài cắm backdoor vào các trang web thương mại điện tử.
Mới đây, Google đã tiết lộ rằng hai lỗ hổng bảo mật Android ảnh hưởng đến điện thoại thông minh Pixel của họ đã bị các công ty Forensic khai thác trong thực tế.
Tín nhiệm mạng | Cục An toàn thông tin (Bộ TT&TT) chính thức ra mắt Cẩm nang "Phòng chống, giảm thiểu rủi ro từ tấn công Ransomware" nhằm giúp các cơ quan, tổ chức, doanh nghiệp nâng cao năng lực chủ động ứng phó và phát hiện sớm các nguy cơ tấn công mạng.
LayerSlider, một plugin nâng cao dành cho WordPress đang được sử dụng trong hơn một triệu trang web, dễ bị tấn công bởi lỗ hổng SQL injection mà không yêu cầu xác thực.
Tín nhiệm mạng | Google đã bắt đầu tự động chặn các email được gửi bởi người gửi hàng loạt không đáp ứng các giới hạn thư rác và xác thực thư của họ theo yêu cầu của các nguyên tắc mới nhằm tăng cường khả năng phòng vệ trước các cuộc tấn công spam và lừa đảo.
Tín nhiệm mạng | Nhà cung cấp dịch vụ lưu trữ và trung tâm dữ liệu Chile IxMetro Powerhost đã gặp phải sự cố tấn công mạng do nhóm ransomware mới có tên SEXi gây ra, nhóm này đã mã hóa cả các máy chủ và bản sao lưu VMware ESXi của công ty.