พบ 5 Botnets แพร่ระบาดบน GPON Router ของ DASAN

หลังจากที่ vpnMentor ออกมาเปิดเผยถึง 2 ช่องโหว่ความรุนแรงสูงบน GPON Router ของ DASAN Zhone Solutions ที่ผลิตในประเทศเกาหลีใต้เมื่อสัปดาห์ที่ผ่านมา ล่าสุดทีมนักวิจัยจาก Qihoo 330 Netlab ระบุว่าพบ Botnet ไม่น้อยกว่า 5 สายพันธุ์แพร่ระบาด Router เหล่านั้นผ่านช่องโหว่เป็นที่เรียบร้อย

Credit: bestfoto77/ShutterStock

vpnMentor ระบุว่า Gigabit-capable Passive Optical Network (GPON) Routers ของ DASAN มีช่องโหว่การบายพาสการพิสูจน์ตัวตน (CVE-2018-10561) และช่องโหว่ RCE (CVE-2018-10562) ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีจากระยะไกลเพื่อเข้าควบคุมอุปกรณ์ได้ ซึ่งเพียงไม่นานหลังจากที่ช่องโหว่ทั้งสองถูกเปิดเผยสู่สาธารณะ นักวิจัยจาก Qihoo 360 Netlab เริ่มพบว่ามีกลุ่มแฮ็กเกอร์เริ่มโจมตีผ่านช่องโหว่เหล่านี้เพื่อสร้างเครือข่าย Botnet ของตนขึ้น จนถึงตอนนี้มีไม่ต่ำกว่า 5 ชนิด ได้แก่

  • Mettle Botnet – C&C Server ตั้งอยู่ในประเทศเวียดนาม แฮ็กเกอร์ใช้โมดูลการโจมตีของ Mettle เพื่อฝังมัลแวร์ลงบน Router ที่มีช่องโหว่
  • Muhstik Botnet – Botnet ใหม่ที่เพิ่งค้นพบเมื่อสัปดาห์ก่อน ถูกใช้เพื่อโจมตีช่องโหว่บน Drupal ซึ่ง Muhstik เวอร์ชันล่าสุดถูกอัปเกรดให้สามารถโจมตีช่องโหว่บน GPON, JBOSS และ DD-WRT ได้
  • Mirai Botnet (Variant ใหม่) – ต้นตำรับของ IoT Botnet ที่สร้างสถิติใหม่ของ DDoS ในปี 2016 ซึ่งช่องโหว่ของ GPON ถูกรวมเข้าไปยัง Mirai บาง Variant ด้วย
  • Hajime Botnet – เช่นเดียวกัน Mirai ช่องโหว่ของ GPON ถูกรวมเข้าไปยัง Hajime ด้วยเช่นกัน
  • Satori Botnet – Botnet ที่สามารถแพร่ระบาดอุปกรณ์ได้มากถึง 260,000 เครื่องภายใน 12 ชั่วโมง โดย Variant ใหม่ได้เพิ่มช่องโหว่ GPON เข้าไปด้วย

vpnMentor ได้รายงานช่องโหว่ที่ค้นพบไปยัง DASAN Zhone Solutions แต่จนถึงตอนนี้ทางบริษัทยังคงไม่ได้ออกแพตช์มาอุดช่องโหว่แต่อย่างใด ที่สำคัญคือโค้ดสำหรับ PoC Exploit ช่องโหว่บน GPON Router ถูกเผยแพร่สู่สาธารณะเป็นที่เรียบร้อยแล้ว แม้แต่แฮ็กเกอร์มือใหม่ก็สามารถนำโค้ดไปใช้โจมตีช่องโหว่ได้ไม่ยาก ส่งผลให้อุปกรณ์ GPON Router หลายล้านชิ้นกำลังตกอยู่ในความเสี่ยง

ระหว่างนี้แนะนำให้ผู้ใช้ทำการผิดสิทธิ์ Remote Administration และใช้ Firewall ในการกรองทราฟฟิกที่เข้ามาจากอินเทอร์เน็ตเพื่อความมั่นคงปลอดภัย

ที่มา: https://thehackernews.com/2018/05/botnet-malware-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

3 ประเด็นสำคัญด้าน Cloud Security ที่ทุกธุรกิจองค์กรต้องใส่ใจ โดย Radware

ในปี 2019 ที่ผ่านมานี้ เราได้เห็นเหตุการณ์ด้าน Cybersecurity ที่เกี่ยวข้องกับระบบ Cloud มากมาย ทาง Radware เองก็ได้ออกมาสรุปถึง 3 ประเด็นหลักที่เหล่าธุรกิจองค์กรควรให้ความสำคัญเพื่อปกป้องระบบ Cloud ที่ตนเองใช้งานอยู่ดังนี้

นิวออร์ลีนส์ประกาศ “ภาวะฉุกเฉิน” หลังถูก Ransomware โจมตี

LaToya Cantrell นายกเทศมนตรีแห่งเมืองนิวออร์ลีนส์ รัฐลุยเซียนา สหรัฐฯ สั่งปิดระบบคอมพิวเตอร์ของเมืองและประกาศ “ภาวะฉุกเฉิน” เมื่อวันศุกร์ที่ 13 ธันวาคมที่ผ่านมา หลังถูก Ransomware โจมตี