Các nhóm tin tặc đang tích cực quét và khai thác một cặp lỗ hổng bảo mật được cho là ảnh hưởng đến 92.000 thiết bị lưu trữ gắn mạng D-Link (NAS) tiếp xúc với internet.
Được theo dõi là CVE-2024-3272 (điểm CVSS: 9.8) và CVE-2024-3273 (điểm CVSS: 7.3), các lỗ hổng ảnh hưởng đến các sản phẩm D-Link cũ đã đạt đến trạng thái hết vòng đời (EoL). D-Link, trong một tư vấn, cho biết họ không có kế hoạch xuất xưởng một bản vá và thay vào đó kêu gọi khách hàng thay thế chúng.
"Lỗ hổng nằm trong uri nas_sharing.cgi, dễ bị tổn thương do hai vấn đề chính: backdoor được tạo điều kiện bởi thông tin đăng nhập được mã hóa cứng và lỗ hổng tiêm lệnh thông qua tham số hệ thống", nhà nghiên cứu bảo mật có tên Netsecfish cho biết vào cuối tháng 3/2024.
Việc khai thác thành công các lỗ hổng có thể dẫn đến việc thực thi lệnh tùy ý trên các thiết bị NAS D-Link bị ảnh hưởng, cấp cho các tác nhân đe dọa khả năng truy cập thông tin nhạy cảm, thay đổi cấu hình hệ thống hoặc thậm chí kích hoạt điều kiện từ chối dịch vụ (DoS).
Các vấn đề ảnh hưởng đến các mô hình sau -
- DNS-320L
- DNS-325
- DNS-327L, và
- DNS-340L
Công ty tình báo mối đe dọa GreyNoise cho biết họ đã quan sát thấy những kẻ tấn công cố gắng vũ khí hóa các lỗ hổng để cung cấp phần mềm độc hại botnet Mirai, do đó có thể điều khiển từ xa các thiết bị D-Link.
Trong trường hợp không có bản sửa lỗi, Shadowserver Foundation khuyến nghị người dùng nên đưa các thiết bị này ngoại tuyến hoặc có quyền truy cập từ xa vào thiết bị được tường lửa để giảm thiểu các mối đe dọa tiềm ẩn.
Các phát hiện một lần nữa minh họa rằng các botnet Mirai liên tục thích nghi và kết hợp các lỗ hổng mới vào danh mục của chúng, với các tác nhân đe dọa nhanh chóng phát triển các biến thể mới được thiết kế để lạm dụng các vấn đề này để vi phạm càng nhiều thiết bị càng tốt.
Với việc các thiết bị mạng trở thành mục tiêu chung cho những kẻ tấn công có động cơ tài chính và liên kết với quốc gia, sự phát triển này diễn ra khi Palo Alto Networks Unit 42 tiết lộ rằng các tác nhân đe dọa đang ngày càng chuyển sang các cuộc tấn công quét do phần mềm độc hại khởi xướng để gắn cờ các lỗ hổng trong mạng mục tiêu.
"Một số cuộc tấn công quét bắt nguồn từ các mạng lành tính có khả năng được thúc đẩy bởi phần mềm độc hại trên các máy bị nhiễm", công ty cho biết.
"Bằng cách khởi động các cuộc tấn công quét từ các máy chủ bị xâm nhập, kẻ tấn công có thể thực hiện những điều sau: Che dấu vết của chúng, bỏ qua hàng rào địa lý, mở rộng botnet [và] tận dụng tài nguyên của các thiết bị bị xâm nhập này để tạo ra khối lượng yêu cầu quét cao hơn so với những gì chúng có thể đạt được chỉ bằng cách sử dụng thiết bị của riêng chúng."