หลังจากที่ vpnMentor ออกมาเปิดเผยถึง 2 ช่องโหว่ความรุนแรงสูงบน GPON Router ของ DASAN Zhone Solutions ที่ผลิตในประเทศเกาหลีใต้เมื่อสัปดาห์ที่ผ่านมา ล่าสุดทีมนักวิจัยจาก Qihoo 330 Netlab ระบุว่าพบ Botnet ไม่น้อยกว่า 5 สายพันธุ์แพร่ระบาด Router เหล่านั้นผ่านช่องโหว่เป็นที่เรียบร้อย
vpnMentor ระบุว่า Gigabit-capable Passive Optical Network (GPON) Routers ของ DASAN มีช่องโหว่การบายพาสการพิสูจน์ตัวตน (CVE-2018-10561) และช่องโหว่ RCE (CVE-2018-10562) ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีจากระยะไกลเพื่อเข้าควบคุมอุปกรณ์ได้ ซึ่งเพียงไม่นานหลังจากที่ช่องโหว่ทั้งสองถูกเปิดเผยสู่สาธารณะ นักวิจัยจาก Qihoo 360 Netlab เริ่มพบว่ามีกลุ่มแฮ็กเกอร์เริ่มโจมตีผ่านช่องโหว่เหล่านี้เพื่อสร้างเครือข่าย Botnet ของตนขึ้น จนถึงตอนนี้มีไม่ต่ำกว่า 5 ชนิด ได้แก่
- Mettle Botnet – C&C Server ตั้งอยู่ในประเทศเวียดนาม แฮ็กเกอร์ใช้โมดูลการโจมตีของ Mettle เพื่อฝังมัลแวร์ลงบน Router ที่มีช่องโหว่
- Muhstik Botnet – Botnet ใหม่ที่เพิ่งค้นพบเมื่อสัปดาห์ก่อน ถูกใช้เพื่อโจมตีช่องโหว่บน Drupal ซึ่ง Muhstik เวอร์ชันล่าสุดถูกอัปเกรดให้สามารถโจมตีช่องโหว่บน GPON, JBOSS และ DD-WRT ได้
- Mirai Botnet (Variant ใหม่) – ต้นตำรับของ IoT Botnet ที่สร้างสถิติใหม่ของ DDoS ในปี 2016 ซึ่งช่องโหว่ของ GPON ถูกรวมเข้าไปยัง Mirai บาง Variant ด้วย
- Hajime Botnet – เช่นเดียวกัน Mirai ช่องโหว่ของ GPON ถูกรวมเข้าไปยัง Hajime ด้วยเช่นกัน
- Satori Botnet – Botnet ที่สามารถแพร่ระบาดอุปกรณ์ได้มากถึง 260,000 เครื่องภายใน 12 ชั่วโมง โดย Variant ใหม่ได้เพิ่มช่องโหว่ GPON เข้าไปด้วย
vpnMentor ได้รายงานช่องโหว่ที่ค้นพบไปยัง DASAN Zhone Solutions แต่จนถึงตอนนี้ทางบริษัทยังคงไม่ได้ออกแพตช์มาอุดช่องโหว่แต่อย่างใด ที่สำคัญคือโค้ดสำหรับ PoC Exploit ช่องโหว่บน GPON Router ถูกเผยแพร่สู่สาธารณะเป็นที่เรียบร้อยแล้ว แม้แต่แฮ็กเกอร์มือใหม่ก็สามารถนำโค้ดไปใช้โจมตีช่องโหว่ได้ไม่ยาก ส่งผลให้อุปกรณ์ GPON Router หลายล้านชิ้นกำลังตกอยู่ในความเสี่ยง
ระหว่างนี้แนะนำให้ผู้ใช้ทำการผิดสิทธิ์ Remote Administration และใช้ Firewall ในการกรองทราฟฟิกที่เข้ามาจากอินเทอร์เน็ตเพื่อความมั่นคงปลอดภัย
ที่มา: https://thehackernews.com/2018/05/botnet-malware-hacking.html