Hacker thất bại trong việc khai thác lỗ hổng trên các dòng router TP-Link đã ngừng hỗ trợ

Theo báo cáo mới nhất từ Palo Alto Networks, các hacker đã nhắm vào một lỗ hổng bảo mật nghiêm trọng trên các dòng router TP-Link đã ngừng sản xuất trong suốt một năm qua, tuy nhiên mọi nỗ lực khai thác đều thất bại.

Lỗ hổng này được theo dõi dưới mã định danh CVE-2023-33538 với điểm số CVSS là 8.8 (mức độ nghiêm trọng cao). Vấn đề nằm ở lỗi tiêm lệnh (command injection) đã xác thực, xuất phát từ việc thiếu cơ chế làm sạch dữ liệu đối với tham số ssid1 trong các yêu cầu HTTP GET.

Router TP-Link

Các thiết bị bị ảnh hưởng

Lỗi bảo mật này ảnh hưởng đến các mẫu router cũ của TP-Link bao gồm TL-WR940N (v2 và v4), TL-WR740N (v1 và v2), và TL-WR841N (v8 và v10). Đáng chú ý, các thiết bị này hiện đã ở trạng thái hết vòng đời (End-of-Life - EoL) và hết hạn hỗ trợ dịch vụ.

Mã khai thác khái niệm (PoC) cho lỗ hổng này đã được công khai cách đây gần 3 năm. Vào tháng 6 năm ngoái, Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗi này vào danh sách các lỗ hổng đang bị khai thác (Known Exploited Vulnerabilities - KEV), kêu gọi các cơ quan liên bang ngừng sử dụng ngay lập tức các thiết bị này.

Phân tích nỗ lực tấn công

Palo Alto Networks cho biết hoạt động khai thác CVE-2023-33538 mà họ theo dõi từ tháng 6 năm ngoái liên quan đến các payload dựa trên Mirai, tương tự như mã độc của botnet IoT Condi. Payload này được thiết kế để biến các thiết bị bị nhiễm thành máy chủ HTTP, từ đó phân phối mã độc cho các máy khách khác.

Tuy nhiên, khi đi sâu phân tích các nỗ lực tấn công, các chuyên gia phát hiện ra sự tồn tại của lỗ hổng cơ bản, đồng thời tìm thấy các lỗi trong mã khai thác đã ngăn chặn hacker thành công.

Cụ thể, hacker đã cố gắng khai thác lỗi mà không cần xác thực, nhắm mục tiêu vào sai tham số và dựa vào một tiện ích không tồn tại trong môi trường BusyBox của các thiết bị bị ảnh hưởng.

"Điều này chứng minh một mô hình tấn công phổ biến là quét và dò tìm với mã khai thác chưa hoàn chỉnh hoặc không chính xác, dẫn đến các cuộc tấn công ồn ào nhưng cuối cùng lại không hiệu quả," công ty an ninh mạng này nhận định.

Nếu khai thác thành công, lỗi tiêm lệnh này có thể dẫn đến tình trạng từ chối dịch vụ (DoS) hoặc cho phép kẻ tấn công đạt được quyền truy cập liên tục vào các thiết bị dễ bị tổn thương.

Người dùng đang sở hữu các dòng router TP-Link cũ nêu trên được khuyến cáo nên thay thế bằng thiết bị mới hơn để đảm bảo an toàn mạng.