ແຈ້ງເຕືອນ ພົບເຫັນ​ບອດ​ເນັດ​ໃໝ່​ ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ເທິງ​ອຸປະກອນ NVR ແລະ​ ເລົາ​ເຕີ TP-Link

ນັກ​ວິໄ​ຈ​ຈາກ Akamai ພົບ​ບອດ​ເນັດ​ໃໝ່​ທີ່​ພັດທະນາມາ​ຈາກ Mirai ກຳ​ລັງ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ Remote Code Execution ເທິງ​ອຸປະກອນ​ບັນ​ທຶກ​ວິ​ດີ​ໂອ DigiEver ແລະ ​ເລົາ​ເຕີ​ຫຼາຍ​ຮຸ່ນ.

ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຈາກ Akamai ລາຍ​ງານ​ການ​ພົບ​ບອດ​ເນັດ​ຕົວ​ໃໝ່​ ທີ່​ພັດທະນາ​ຕໍ່​ຈາກ Mirai ຊຶ່ງ​ກຳ​ລັງ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ Remote Code Execution ເທິງ​ອຸປະກອນ​ບັນ​ທຶກ​ວິ​ດີ​ໂອ DigiEver DS-2105 Pro NVR ໂດຍ​ຊ່ອງ​ໂຫວ່​ນີ້ ​ຍັງ​ບໍ່​ໄດ້ຮັບ​ໝາຍ​ເລກ CVE ແລະ​ ບັງ​ບໍ່​ມີ​ການ​ແກ້​ໄຂ, ​ການ​ໂຈມ​ຕີ​ເລີ່ມ​ຕົ້ນ​ຕັ້ງ​ແຕ່​ເດືອນ ​ຕຸລາ​ ທີ່​ຜ່ານມາ ໂດຍ​ມຸ້ງ​ເປົ້າ​ໄປ​ທີ່​ອຸປະກອນ​ບັນ​ທຶກ​ວິ​ດີ​ໂອ​ຫຼາຍ​ຮຸ່ນ​ ແລະ ​ເລົາ​ເຕີ TP-Link ທີ່​ໃຊ້​ເ​ຟິມ​ແວ​ຮຸ່ນ​ເກົ່າ.

ບອດ​ເນັດ​ນີ້​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່ ​ທີ່​ຢູ່ໃນ ‘/cgi-bin/cgi_main.cgi’ ຊຶ່ງ​ບໍ່​ມີ​ການ​ກວດ​ສອບ​ຂໍ້​ມູນ Input ຢ່າງ​ເໝາະ​ສົມ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ ​ສາມາດ​ແຊກ​ຄຳ​ສັ່ງ​ ‘curl’ ແລະ ‘chmod’ ຜ່ານ​ຕົວປ່ຽນ​ບາງ​ຕົວ ເຊັ່ນ: ntp field ໃນ HTTP POST ເມື່ອ​ໂຈມ​ຕີ​ສຳ​ເລັດ ອຸປະກອນ​ຈະ​ດຶງ​ມັນ​ແວ​ຈາກ​ເ​ຊິບເວີ​ພາຍນອກ ​ແລະ ​ຖືກ​ເພີ່ມ​ເຂົ້າ​ສູ່​ເຄືອ​ຂ່າຍ​ບອດ​ເນັດ ໂດຍ​ໃຊ້ cron jobs ເພື່ອ​ໃຫ້​ມັນ​ແວ​ຢູ່ໃນ​ລະບົບ.

ນອກ​ຈາກ​ຊ່ອງ​ໂຫວ່​ເທິງ DigiEver ແລ້ວ ບອດ​ເນັດ​ນີ້ ​ຍັງ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ CVE-2023-1389 ເທິງ​ອຸປະກອນ TP-Link ແລະ CVE-2018-17532 ເທິງ​ເລົາ​ເຕີ Teltonika RUT9XX ອີກ​ດ້ວຍ. Akamai ລະ​ບຸ​ວ່າ ​ບອດ​ເນັດ​ຕົວ​ນີ້ ​ມີ​ຄວາມ​ໜ້າ​ສົນ​ໃຈ​ ​ທີ່​ໃຊ້​ການ​ເຂົ້າ​ລະຫັດ​ແບບ XOR ແລະ ChaCha20 ລວມ​ເຖິງ​ຮອງ​ຮັບ​ສະ​ຖາ​ປັດ​ຕິຍະ​ກຳ​ລະບົບ​ທີ່​ຫຼາກ​ຫຼາຍ ທັງ x86, ARM ແລະ MIPS ນັກ​ວິ​ໄຈ​ໄດ້​ເຜີຍແຜ່ IoC ແລະ Yara Rules ສຳລັບ​ກວດ​ຈັບ ​ແລະ ​ປ້ອງ​ກັນໄ​ພ​ຄຸກ​ຄາມ​ນີ້​ໄວ້​ໃນ​ລາຍ​ງານ​ສະບັບ​ເຕັມ ທີ່ລິ້ງ: https://www.akamai.com/blog/security-research/digiever-fix-that-iot-thing

ທີ່​ມາ : https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

472 Views